La société de sécurité informatique Check Point Research a découvert un voleur de portefeuilles cryptographiques qui utilisait des « techniques d'évasion avancées » sur le Google Play Store pour voler plus de 70 000 $ en cinq mois.

L'application malveillante s'est déguisée en protocole WalletConnect, une application bien connue dans l'espace crypto qui peut relier une variété de portefeuilles cryptographiques à des applications de finance décentralisée (DeFi).

La société a déclaré dans un article de blog du 26 septembre que c'était « la première fois que les draineurs ciblaient exclusivement les utilisateurs mobiles ».

« De fausses critiques et une image de marque cohérente ont permis à l'application d'atteindre plus de 10 000 téléchargements en se classant haut dans les résultats de recherche », a déclaré Check Point Research.

Plus de 150 utilisateurs ont perdu environ 70 000 dollars. Tous les utilisateurs de l’application n’ont pas été ciblés, car certains n’ont pas connecté de portefeuille ou ont vu qu’il s’agissait d’une arnaque. D’autres « ne répondaient peut-être pas aux critères de ciblage spécifiques du logiciel malveillant », a déclaré Check Point Research.

Certains des faux avis sur l'application WalletConnect falsifiée mentionnaient des fonctionnalités qui n'avaient rien à voir avec la crypto-monnaie. Source : Check Point Research

L'application a été mise à disposition sur l'App Store de Google le 21 mars et a utilisé des « techniques d'évasion avancées » pour rester indétectable pendant plus de cinq mois. Elle a maintenant été supprimée.

L'application a d'abord été publiée sous le nom de « Mestox Calculator » et a été modifiée plusieurs fois alors que son URL d'application pointait toujours vers un site Web apparemment inoffensif avec une calculatrice.

« Cette technique permet aux attaquants de passer le processus d'examen des applications dans Google Play, car des vérifications automatisées et manuelles chargeront l'application de calculatrice « inoffensive » », ont déclaré les chercheurs.

Cependant, en fonction de l’emplacement de l’adresse IP de l’utilisateur et s’il utilisait un appareil mobile, il était redirigé vers le back-end de l’application malveillante qui hébergeait le logiciel de vidage de portefeuille MS Drainer.

Un schéma de la manière dont la fausse application WalletConnect a réussi à drainer les fonds de certains utilisateurs. Source : Check Point Research

Tout comme d’autres systèmes de vidage de portefeuille, la fausse application WalletConnect a invité les utilisateurs à connecter un portefeuille, ce qui n’aurait pas été suspect en raison du fonctionnement de la véritable application.

Les utilisateurs sont ensuite invités à accepter diverses autorisations pour « vérifier leur portefeuille », ce qui accorde la permission à l'adresse de l'attaquant « de transférer le montant maximum de l'actif spécifié », a déclaré Check Point Research.

« L’application récupère la valeur de tous les actifs présents dans le portefeuille de la victime. Elle tente d’abord de retirer les tokens les plus chers, puis les moins chers », a-t-elle ajouté.

« Cet incident met en évidence la sophistication croissante des tactiques des cybercriminels », a écrit Check Point Research. « L’application malveillante ne s’appuyait pas sur des vecteurs d’attaque traditionnels comme les autorisations ou l’enregistrement de frappe. Au lieu de cela, elle utilisait des contrats intelligents et des liens profonds pour drainer silencieusement des ressources une fois que les utilisateurs étaient amenés à utiliser l’application. »

Elle a ajouté que les utilisateurs doivent « se méfier des applications qu’ils téléchargent, même lorsqu’elles semblent légitimes » et que les magasins d’applications doivent améliorer leur processus de vérification pour arrêter les applications malveillantes.

« La communauté crypto doit continuer à sensibiliser les utilisateurs aux risques associés aux technologies Web3 », ont déclaré les chercheurs. « Ce cas illustre que même des interactions apparemment anodines peuvent entraîner des pertes financières importantes. »

Google n'a pas immédiatement répondu à une demande de commentaire.

Crypto-Sec : 2 auditeurs ont raté une faille de 27 millions de dollars de Penpie, le bug « claim rewards » de Pythia