Coinbase, MetaMask, TokenPocket, dan produk imToken termasuk di antara mereka yang terpengaruh. Pelaku ancaman yang membuat aplikasi yang tampaknya membuat aplikasi identik dengan yang sah. Namun, ada satu perbedaan utama yakni aplikasi palsu ini bisa mampu mencuri frasa keamanan orang. Frase keamanan, atau kunci rahasia, adalah rangkaian kata yang digunakan untuk memulihkan, atau memuat, dompet yang ada ke dalam aplikasi baru.

Puluhan juta target potensial

Orang-orang menggunakan aplikasi ini ketika mereka lupa kata sandi mereka, menginstal aplikasi di baru, atau perlu memuat dompet di perangkat yang berbeda.

Aplikasi ini tidak dapat ditemukan di repositori aplikasi resmi, seperti Play Store atau App Store. Sebaliknya, pelaku ancaman mengandalkan mendistribusikan aplikasi melalui halaman web, yang mereka promosikan melalui teknik SEO hitam, pemasaran media sosial dan promosi forum. 

Dilansir dari Tech Radar, Rabu (15/6/2022), para peneliti tidak dapat mengatakan berapa banyak orang yang tertipu untuk mengunduh aplikasi ini. Adapun korban, penyerang tampaknya sebagian besar menargetkan penduduk Asia.

Hasil pencarian dari mesin Baidu paling terpengaruh oleh kampanye tersebut, karena ini telah mengarahkan “sejumlah besar” lalu lintas ke situs yang menghosting aplikasi berbahaya.

Para penyerang itu tampaknya juga orang Asia. Confiant menyebutnya SeaFlower, dan percaya bahwa mereka adalah orang China karena petunjuk halus seperti bahasa komentar dalam kode sumber, lokasi infrastruktur, dan kerangka kerja serta layanan yang digunakan.

Kampanye tersebut tampaknya telah aktif setidaknya sejak Maret tahun ini, kata Confiant, seraya menambahkan bahwa itu adalah “ancaman paling canggih yang menargetkan pengguna web3, tepat setelah Grup Lazarus.