Pesquisadores divulgaram uma campanha em grande escala, apelidada de SeaFlower, usando os aplicativos clonados de carteiras de criptomoedas, como os serviços MetaMask, Coinbase, imToken e TokenPocket.

A atividade é descrita como uma ameaça tecnicamente sofisticada visando usuários da web3. Os aplicativos maliciosos de criptomoeda são os mesmos que os reais. No entanto, esses aplicativos falsos vêm com um backdoor que pode roubar frases de segurança dos usuários para acessar ativos digitais.

De acordo com os relatórios, o principal canal de distribuição são os serviços de pesquisa. Supõe-se que os cibercriminosos também estejam promovendo por meio de mídias sociais, fóruns e malvertising.

Além disso, os aplicativos trojanizados se espalham por meio de sites falsos de carteiras criptográficas e técnicas avançadas de envenenamento de SEO.

No iOS, os sites abusam dos perfis de provisionamento para carregar os aplicativos maliciosos de forma lateral para contornar as proteções de segurança.