Das IT-Sicherheitsunternehmen Check Point Research hat einen Krypto-Wallet-Drainer aufgedeckt, der im Google Play Store „fortgeschrittene Umgehungstechniken“ anwandte und in fünf Monaten über 70.000 Dollar stahl.

Die bösartige App tarnte sich als WalletConnect-Protokoll, eine im Kryptobereich bekannte App, die eine Vielzahl von Krypto-Wallets mit dezentralisierten Finanzanwendungen (DeFi) verknüpfen kann.

In einem Blog-Beitrag vom 26. September erklärte das Unternehmen, dass dies „das erste Mal sei, dass Drainer es ausschließlich auf mobile Benutzer abgesehen hätten“.

„Gefälschte Bewertungen und ein einheitliches Branding verhalfen der App zu über 10.000 Downloads, indem sie einen hohen Rang in den Suchergebnissen erreichte“, sagte Check Point Research.

Über 150 Benutzer wurden um rund 70.000 US-Dollar betrogen – nicht alle App-Benutzer waren betroffen, da einige kein Wallet angeschlossen hatten oder erkannten, dass es sich um einen Betrug handelte. Andere „erfüllten möglicherweise nicht die spezifischen Zielkriterien der Malware“, so Check Point Research.

Einige der gefälschten Bewertungen der gefälschten WalletConnect-App erwähnten Funktionen, die nichts mit Krypto zu tun hatten. Quelle: Check Point Research

Es wurde hinzugefügt, dass die gefälschte App am 21. März im App Store von Google verfügbar gemacht wurde und „fortgeschrittene Umgehungstechniken“ verwendete, um über fünf Monate lang unentdeckt zu bleiben. Sie wurde inzwischen entfernt.

Die App wurde zunächst unter dem Namen „Mestox Calculator“ veröffentlicht und mehrmals geändert, während die Anwendungs-URL immer noch auf eine scheinbar harmlose Website mit einem Taschenrechner verwies.

„Mit dieser Technik können Angreifer den App-Überprüfungsprozess im Google Play Store umgehen, da automatische und manuelle Überprüfungen die ‚harmlose‘ Taschenrechner-Anwendung laden“, so die Forscher.

Abhängig vom Standort der IP-Adresse des Benutzers und davon, ob er ein Mobilgerät verwendete, wurde er jedoch auf das Backend der bösartigen App umgeleitet, auf der sich die Wallet-Leering-Software MS Drainer befand.

Ein Diagramm, das zeigt, wie die gefälschte WalletConnect-App bestimmte Benutzergelder abzog. Quelle: Check Point Research

Ähnlich wie bei anderen Programmen zum Plündern von Geldbörsen forderte die gefälschte WalletConnect-App die Benutzer auf, eine Geldbörse zu verbinden – was angesichts der Funktionsweise der echten App nicht verdächtig gewesen wäre.

Anschließend werden die Benutzer aufgefordert, verschiedene Berechtigungen zu akzeptieren, um „ihre Brieftasche zu verifizieren“. Dadurch wird der Adresse des Angreifers die Berechtigung erteilt, „den Höchstbetrag des angegebenen Vermögenswerts zu überweisen“, so Check Point Research.

„Die Anwendung ruft den Wert aller Vermögenswerte in den Wallets des Opfers ab. Sie versucht zuerst, die teureren Token abzuheben, gefolgt von den billigeren“, fügte sie hinzu.

„Dieser Vorfall unterstreicht die zunehmende Raffinesse der Taktiken von Cyberkriminellen“, schrieb Check Point Research. „Die bösartige App verließ sich nicht auf traditionelle Angriffsmethoden wie Berechtigungen oder Keylogging. Stattdessen nutzte sie Smart Contracts und Deep Links, um heimlich Vermögenswerte zu erbeuten, sobald die Benutzer dazu verleitet wurden, die App zu verwenden.“

Weiter hieß es, die Nutzer müssten „auf der Hut sein vor den Anwendungen, die sie herunterladen, auch wenn sie legitim erscheinen“, und App Stores müssten ihre Verifizierungsprozesse verbessern, um bösartige Apps zu stoppen.

„Die Krypto-Community muss die Benutzer weiterhin über die mit Web3-Technologien verbundenen Risiken aufklären“, sagten die Forscher. „Dieser Fall zeigt, dass selbst scheinbar harmlose Interaktionen zu erheblichen finanziellen Verlusten führen können.“

Google antwortete nicht sofort auf eine Bitte um Stellungnahme.

Krypto-Sicherheit: 2 Prüfer übersehen Penpie-Fehler im Wert von 27 Millionen $ sowie Pythias „Claim Rewards“-Bug