Perusahaan keamanan TI Check Point Research telah mengungkap penguras dompet kripto yang menggunakan "teknik penghindaran canggih" di toko Google Play untuk mencuri lebih dari $70.000 dalam lima bulan.

Aplikasi jahat itu menyamar sebagai protokol WalletConnect, aplikasi terkenal di dunia kripto yang dapat menghubungkan berbagai dompet kripto ke aplikasi keuangan terdesentralisasi (DeFi).

Perusahaan tersebut mengatakan dalam sebuah posting blog pada tanggal 26 September bahwa hal ini menandai "pertama kalinya penguras data secara eksklusif menargetkan pengguna seluler."

“Ulasan palsu dan pencitraan merek yang konsisten membantu aplikasi tersebut memperoleh lebih dari 10.000 unduhan dengan menempati peringkat tinggi dalam hasil pencarian,” kata Check Point Research.

Lebih dari 150 pengguna kehilangan sekitar $70.000 — tidak semua pengguna aplikasi menjadi sasaran karena beberapa tidak menghubungkan dompet atau menyadari bahwa itu adalah penipuan. Yang lain "mungkin tidak memenuhi kriteria penargetan malware secara spesifik," kata Check Point Research.

Beberapa ulasan palsu pada aplikasi WalletConnect palsu menyebutkan fitur yang tidak ada hubungannya dengan kripto. Sumber: Check Point Research

Ditambahkannya, aplikasi palsu tersebut tersedia di toko aplikasi Google pada tanggal 21 Maret dan menggunakan "teknik penghindaran canggih" agar tidak terdeteksi selama lebih dari lima bulan. Aplikasi tersebut kini telah dihapus.

Aplikasi ini pertama kali diterbitkan dengan nama “Mestox Calculator” dan diubah beberapa kali sementara URL aplikasinya masih mengarah ke situs web yang tampaknya tidak berbahaya dengan kalkulator.

“Teknik ini memungkinkan penyerang melewati proses peninjauan aplikasi di Google Play, karena pemeriksaan otomatis dan manual akan memuat aplikasi kalkulator yang ‘tidak berbahaya’,” kata para peneliti.

Namun, tergantung pada lokasi alamat IP pengguna dan apakah mereka menggunakan perangkat seluler, mereka akan diarahkan ke aplikasi berbahaya yang memuat perangkat lunak penguras dompet MS Drainer.

Diagram tentang cara kerja aplikasi WalletConnect palsu untuk menguras dana pengguna tertentu. Sumber: Check Point Research

Seperti skema pengurasan dompet lainnya, aplikasi WalletConnect palsu meminta pengguna untuk menghubungkan dompet — yang tidak akan mencurigakan mengingat cara kerja aplikasi asli.

Pengguna kemudian diminta untuk menerima berbagai izin guna "memverifikasi dompet mereka," yang memberikan izin bagi alamat penyerang "untuk mentransfer jumlah maksimum aset yang ditentukan," kata Check Point Research.

"Aplikasi tersebut mengambil nilai semua aset di dompet korban. Pertama-tama aplikasi tersebut mencoba menarik token yang lebih mahal, diikuti oleh token yang lebih murah," tambahnya.

"Insiden ini menyoroti semakin canggihnya taktik kejahatan dunia maya," tulis Check Point Research. "Aplikasi jahat tersebut tidak mengandalkan vektor serangan tradisional seperti izin atau keylogging. Sebaliknya, aplikasi tersebut menggunakan kontrak pintar dan tautan mendalam untuk menguras aset secara diam-diam setelah pengguna ditipu agar menggunakan aplikasi tersebut."

Ia menambahkan bahwa pengguna harus "waspada terhadap aplikasi yang mereka unduh, bahkan jika aplikasi tersebut tampak sah" dan bahwa toko aplikasi harus meningkatkan proses verifikasi mereka untuk menghentikan aplikasi berbahaya.

“Komunitas kripto perlu terus mengedukasi pengguna tentang risiko yang terkait dengan teknologi Web3,” kata para peneliti. “Kasus ini menggambarkan bahwa interaksi yang tampaknya tidak berbahaya sekalipun dapat menyebabkan kerugian finansial yang signifikan.”

Google tidak segera menanggapi permintaan komentar.

Crypto-Sec: 2 auditor gagal mendeteksi kelemahan Penpie senilai $27 juta, bug ‘klaim hadiah’ Pythia