Aplikacja Crypto Wallet Drainer zidentyfikowana w sklepie Google Play, raport sugeruje kradzież 70 000 dolarów

Raport firmy Check Point Research (CPR) ujawnił aplikację do drenowania portfeli kryptowalut w sklepie Google Play, udającą popularną aplikację WalletConnect. CPR ustaliło, że aplikacja wykorzystała „zaawansowane techniki unikania kradzieży”, aby w ciągu pięciu miesięcy ukraść niczego niepodejrzewającym użytkownikom 70 000 dolarów (około 58,6 lakh rupii). Szkodliwa aplikacja, nazwana po analizie jej kodu JavaScript „MS Drainer”, wpisuje się w rosnący trend coraz bardziej wyrafinowanych oszustw związanych z kryptowalutami. Ostatnie raporty FBI ostrzegają również, że cyberprzestępcy stali się skuteczniejsi w przeprowadzaniu globalnych ataków.

„Badanie Check Point (CPR) odkryło złośliwą aplikację w sklepie Google Play zaprojektowaną do kradzieży kryptowaluty, co oznacza, że ​​po raz pierwszy narzędzie drenażowe atakowało wyłącznie użytkowników urządzeń mobilnych. Aby udawać legalne narzędzie dla aplikacji Web3, napastnicy wykorzystali zaufaną nazwę protokołu WalletConnect, który łączy portfele kryptograficzne ze zdecentralizowanymi aplikacjami”, raport stwierdził.

Aplikacja portfela kryptowalutowego, która została teraz usunięta, zgromadziła ponad 10 000 pobrań. Fałszywa platforma pojawiła się obok wyszukiwania w sklepie Google Play hasła „WalletConnect” z powodu wielu recenzji, które w raporcie CPR oznaczono jako „fałszywe”.

Co to jest WallConnect

WalletConnect to protokół typu open source, który łączy zdecentralizowane aplikacje (dApps) z portfelami kryptowalutowymi za pomocą kodów QR, umożliwiając użytkownikom interakcję z aplikacjami opartymi na blockchainie bez ujawniania ich kluczy prywatnych.

Według Check Point Research (CPR) fałszywa aplikacja naśladująca wygląd i funkcje WalletConnect została stworzona przy użyciu serwisu internetowego Median.co. Aplikacja, początkowo nazywana „Mestox Calculator”, została opublikowana w sklepie Google Play 21 marca 2024 r. i od tego czasu jej nazwa zmieniała się kilkakrotnie.

„Niedoświadczony użytkownik może dojść do wniosku, że jest to osobna aplikacja portfelowa, którą należy pobrać i zainstalować. Atakujący przejmują zamieszanie, mając nadzieję, że użytkownicy będą szukać aplikacji WalletConnect w sklepie z aplikacjami” – zauważono w raporcie.

Właściciel X WalletConnect potwierdził rozwój w notatce dla swoich obserwujących.

Jak działał złośliwy dupek WalletConnet

Po pobraniu fałszywa aplikacja szybko namawiała użytkowników do podłączenia swoich portfeli kryptowalutowych. Gdy użytkownicy klikali przyciski portfela, byli przekierowywani na złośliwą stronę internetową za pośrednictwem głębokiego linku. Aby zweryfikować swoje portfele, witryna prosiła użytkowników o zatwierdzenie wielu transakcji kolejno, nieświadomie autoryzując oszukańcze działania.

„Zakładamy, że użytkownicy instalują tę złośliwą aplikację, aby połączyć swój portfel z aplikacjami Web3, które nie obsługują bezpośrednich połączeń z portfelami, takimi jak MetaMask, Binance Wallet czy Trust Wallet, a jedynie korzystają z protokołu WalletConnect. Prawdopodobnie oczekują, że pobrana aplikacja WalletConnect będzie działać jako swego rodzaju serwer proxy. Dlatego prośba o połączenie nie wydaje się podejrzana” – wyjaśniono w raporcie.

CPR w swoim raporcie stwierdziło, że tego typu incydenty podkreślają zaawansowany charakter technik stosowanych do ataków na sektor kryptograficzny, który jest obecnie wyceniany na 2,27 biliona dolarów (około 1 90 20 364 crore rupii). Witryna zdecydowanie sugeruje, aby użytkownicy zachowali czujność i ostrożność w stosunku do pobieranych aplikacji, nawet jeśli wydają się legalne.

W raporcie Sophos z 2023 r. stwierdzono, że oszuści kryptowalutowi łowili ofiary w systemach Android za pomocą narzędzi sztucznej inteligencji. Stwierdzono również, że oszuści zajmujący się kryptowalutami wykorzystują reklamy w wyszukiwarce Google do promowania witryn zawierających oszustwa.