Ошибка в Android оставляет 30 миллионов криптокошельков уязвимыми для атак: аналитики Microsoft

Обновление было доступно почти год, но миллионы пользователей Android все еще могут использовать уязвимые приложения для криптовалютных кошельков — оставляя свои средства и приватные ключи под угрозой известной уязвимости.

Команда по безопасности Microsoft Defender опубликовала подробности уязвимости на прошлой неделе, впервые обнаруженной в апреле 2025 года. Уязвимость находилась внутри широко используемого программного компонента под названием EngageLab SDK, версии 4.5.4.

Поскольку этот SDK встроен в тысячи приложений для Android, одно вредоносное приложение могло запустить цепную реакцию, которая распространилась далеко за пределы самого себя.

Как работает атака

Метод называется «перенаправление намерений». Приложение злоумышленника отправляет специально подготовленное сообщение любому приложению, использующему уязвимую версию SDK. Как только сообщение достигает цели, целевое приложение обманывается и передает доступ для чтения и записи своих данных — включая сохраненные фразы для восстановления и адреса кошельков.

Встроенная система песочницы Android, которая обычно предотвращает доступ приложений к данным друг друга, была полностью обойдена. По словам Microsoft, атака затронула более 50 миллионов приложений в экосистеме Android, из которых примерно 30 миллионов — криптовалютные кошельки.

Уязвимость не требовала от пользователя никаких неправильных действий. Ни подозрительных ссылок, ни фишинговых страниц. Достаточно было просто иметь установленные неправильные приложения одновременно.

Реакция Microsoft и Google

Microsoft быстро отреагировала после обнаружения. К маю 2025 года компания привлекла Google и команду безопасности Android к ответным мерам. Вскоре после этого EngageLab выпустила исправленную версию — SDK 5.2.1.

Сообщается, что и Microsoft, и Google с тех пор дали пользователям инструкции, как проверить, обновлены ли их приложения для кошельков через Google Play Protect.

Также представители указали на более широкую проблему: приложения, установленные как APK-файлы из вне магазина Play, находятся под большим риском, поскольку они обходят проверки безопасности, которые Google применяет к приложениям в своем официальном магазине.

Что должны делать пользователи сейчас

Для большинства пользователей, регулярно обновляющих свои приложения, риск, вероятно, прошел. Но для тех, кто не обновлял свои приложения с середины 2025 года, рекомендуемые меры требуют больше, чем просто обновление приложения.

Команды по безопасности советуют этим пользователям перевести свои средства в полностью новые кошельки, созданные с помощью свежих фраз для восстановления. Любой кошелек, который был активен и не исправлен во время уязвимости, следует считать потенциально скомпрометированным.

Объявление о уязвимости сопровождается отдельной проблемой — уязвимостью чипа Android, о которой сообщили в прошлом месяце, и новой инициативой Министерства финансов США, которая объединяет государственные агентства с криптовалютными компаниями для обмена информацией о киберугрозах — что свидетельствует о растущем внимании к мобильной безопасности в криптоиндустрии на самом высоком уровне.

Изображение из Bleeping Computer, график из TradingView