La empresa de seguridad informática Check Point Research ha descubierto un drenador de billeteras criptográficas que utilizó “técnicas de evasión avanzadas” en la tienda Google Play para robar más de $70,000 en cinco meses.
La aplicación maliciosa se disfrazó del protocolo WalletConnect, una aplicación conocida en el espacio criptográfico que puede vincular una variedad de billeteras criptográficas a aplicaciones de finanzas descentralizadas (DeFi).
La compañía dijo en una publicación de blog del 26 de septiembre que es “la primera vez que los drenadores apuntan exclusivamente a los usuarios móviles”.
“Las reseñas falsas y una marca consistente ayudaron a que la aplicación lograra más de 10 000 descargas al ocupar un lugar destacado en los resultados de búsqueda”, afirmó Check Point Research.
Más de 150 usuarios perdieron alrededor de 70.000 dólares. No todos los usuarios de la aplicación fueron el objetivo, ya que algunos no conectaron una billetera o vieron que se trataba de una estafa. Otros "pueden no haber cumplido con los criterios específicos de selección del malware", dijo Check Point Research.
Algunas de las reseñas falsas sobre la aplicación falsificada WalletConnect mencionaban funciones que no tenían nada que ver con las criptomonedas. Fuente: Check Point Research
Agregó que la aplicación falsa se puso a disposición en la tienda de aplicaciones de Google el 21 de marzo y utilizó “técnicas de evasión avanzadas” para pasar desapercibida durante más de cinco meses. Ahora ha sido eliminada.
La aplicación se publicó por primera vez con el nombre “Mestox Calculator” y se modificó varias veces mientras la URL de la aplicación todavía apuntaba a un sitio web aparentemente inofensivo con una calculadora.
“Esta técnica permite a los atacantes pasar el proceso de revisión de la aplicación en Google Play, ya que las verificaciones automáticas y manuales cargarán la aplicación de calculadora ‘inofensiva’”, dijeron los investigadores.
Sin embargo, dependiendo de la ubicación de la dirección IP del usuario y si estaba usando un dispositivo móvil, era redirigido al back-end de la aplicación maliciosa que albergaba el software de vaciado de billetera MS Drainer.
Diagrama de cómo funcionaba la aplicación falsa WalletConnect para drenar los fondos de ciertos usuarios. Fuente: Check Point Research
Al igual que otros esquemas para vaciar billeteras, la aplicación falsa WalletConnect solicitaba a los usuarios que conectaran una billetera, lo que no habría sido sospechoso debido a cómo funciona la aplicación real.
Luego se les pide a los usuarios que acepten varios permisos para “verificar su billetera”, lo que otorga permiso para que la dirección del atacante “transfiera la cantidad máxima del activo especificado”, dijo Check Point Research.
“La aplicación recupera el valor de todos los activos en las billeteras de la víctima. Primero intenta retirar los tokens más caros, seguidos de los más baratos”, agregó.
“Este incidente pone de relieve la creciente sofisticación de las tácticas de los cibercriminales”, escribió Check Point Research. “La aplicación maliciosa no dependía de vectores de ataque tradicionales como permisos o keylogging. En su lugar, utilizaba contratos inteligentes y enlaces profundos para drenar silenciosamente los activos una vez que los usuarios eran engañados para que usaran la aplicación”.
Agregó que los usuarios deben ser “cautelosos con las aplicaciones que descargan, incluso cuando parecen legítimas” y que las tiendas de aplicaciones deben mejorar su proceso de verificación para detener las aplicaciones maliciosas.
“La comunidad criptográfica debe seguir educando a los usuarios sobre los riesgos asociados a las tecnologías Web3”, afirmaron los investigadores. “Este caso ilustra que incluso interacciones aparentemente inocuas pueden provocar pérdidas financieras significativas”.
Google no respondió inmediatamente a una solicitud de comentarios.
Crypto-Sec: 2 auditores pasan por alto el error de 27 millones de dólares en Penpie y el error de «reclamación de recompensas» de Pythia