IT bezpečnostní firma Check Point Research odhalila odčerpávač kryptopeněženek, který pomocí „pokročilých technik úniku“ v obchodě Google Play ukradl přes 70 000 dolarů za pět měsíců.

Škodlivá aplikace se maskovala jako protokol WalletConnect, což je známá aplikace v kryptoprostoru, která dokáže propojit různé kryptopeněženky s aplikacemi decentralizovaného financování (DeFi).

Společnost v blogovém příspěvku z 26. září uvedla, že jde o „poprvé, kdy se odkapávače zaměřují výhradně na mobilní uživatele“.

„Falešné recenze a konzistentní branding pomohly aplikaci dosáhnout více než 10 000 stažení díky umístění vysoko ve výsledcích vyhledávání,“ uvedl Check Point Research.

Více než 150 uživatelům bylo vyčerpáno přibližně 70 000 $ – ne všichni uživatelé aplikací byli cíleni, protože někteří si nepřipojili peněženku nebo viděli, že jde o podvod. Jiní „možná nesplnili specifická kritéria cílení malwaru,“ uvedl Check Point Research.

Některé z falešných recenzí na podvržené aplikaci WalletConnect zmiňovaly funkce, které neměly nic společného s kryptoměnami. Zdroj: Check Point Research

Dodal, že falešná aplikace byla zpřístupněna v obchodě s aplikacemi Google 21. března a používala „pokročilé únikové techniky“, aby zůstala neodhalena déle než pět měsíců. Nyní byl odstraněn.

Aplikace byla poprvé publikována pod názvem „Mestox Calculator“ a byla několikrát změněna, zatímco její adresa URL stále ukazovala na zdánlivě neškodný web s kalkulačkou. 

„Tato technika umožňuje útočníkům projít procesem kontroly aplikace na Google Play, protože automatické a manuální kontroly načtou „neškodnou“ aplikaci kalkulačky,“ uvedli vědci. 

V závislosti na umístění IP adresy uživatele a v případě, že používal mobilní zařízení, byli však přesměrováni na back-end škodlivé aplikace, který obsahoval software MS Drainer pro odčerpávání peněženky.

Schéma toho, jak falešná aplikace WalletConnect fungovala při vyčerpání určitých uživatelských prostředků. Zdroj: Check Point Research

Stejně jako ostatní schémata vyčerpání peněženky, falešná aplikace WalletConnect vyzvala uživatele k připojení peněženky – což by nebylo podezřelé vzhledem k tomu, jak skutečná aplikace funguje.

Uživatelé jsou pak požádáni, aby přijali různá oprávnění k „ověření své peněženky“, která udělují povolení pro adresu útočníka „převést maximální množství specifikovaného aktiva,“ uvedl Check Point Research.

„Aplikace načte hodnotu všech aktiv v peněženkách oběti. Nejprve se pokusí stáhnout dražší tokeny a poté levnější,“ dodal.

"Tento incident poukazuje na rostoucí sofistikovanost taktiky kyberzločinu," napsal Check Point Research. „Škodlivá aplikace se nespoléhala na tradiční vektory útoků, jako jsou oprávnění nebo keylogging. Místo toho používal chytré smlouvy a přímé odkazy k tichému vyčerpání aktiv, jakmile byli uživatelé přivedeni k používání aplikace.“

Dodal, že uživatelé si musí „dávat pozor na aplikace, které stahují, i když se zdají být legitimní“ a že obchody s aplikacemi musí zlepšit svůj ověřovací proces, aby zastavily škodlivé aplikace.

„Kryptokomunita musí pokračovat ve vzdělávání uživatelů o rizicích spojených s technologiemi Web3,“ uvedli vědci. "Tento případ ukazuje, že i zdánlivě neškodné interakce mohou vést k významným finančním ztrátám."

Google na žádost o komentář okamžitě neodpověděl.

Crypto-Sec: 2 auditoři zmeškali chybu Penpie za 27 milionů dolarů, chybu Pythie „nárokujte si odměny“