La società di sicurezza informatica Check Point Research ha scoperto un prosciugatore di portafogli crittografici che ha utilizzato "tecniche di evasione avanzate" sul Google Play Store per rubare oltre 70.000 dollari in cinque mesi.

L'app dannosa si camuffava da protocollo WalletConnect, un'app molto nota nel settore delle criptovalute in grado di collegare diversi portafogli crittografici ad applicazioni di finanza decentralizzata (DeFi).

L'azienda ha affermato in un post sul blog del 26 settembre che si tratta "della prima volta che i drainer prendono di mira esclusivamente gli utenti di dispositivi mobili".

"Le recensioni false e un marchio coerente hanno aiutato l'app a raggiungere oltre 10.000 download, posizionandosi in alto nei risultati di ricerca", ha affermato Check Point Research.

Oltre 150 utenti sono stati prosciugati di circa $ 70.000: non tutti gli utenti dell'app sono stati presi di mira, poiché alcuni non hanno collegato un portafoglio o hanno visto che si trattava di una truffa. Altri "potrebbero non aver soddisfatto i criteri di targeting specifici del malware", ha affermato Check Point Research.

Alcune delle recensioni false sull'app WalletConnect falsificata menzionavano funzionalità che non avevano nulla a che fare con le criptovalute. Fonte: Check Point Research

Ha aggiunto che l'app falsa è stata resa disponibile sull'app store di Google il 21 marzo e ha utilizzato "tecniche di evasione avanzate" per non essere rilevata per oltre cinque mesi. Ora è stata rimossa.

L'app è stata pubblicata per la prima volta con il nome "Mestox Calculator" ed è stata modificata più volte, mentre l'URL dell'applicazione puntava ancora a un sito Web apparentemente innocuo con una calcolatrice.

"Questa tecnica consente agli aggressori di superare il processo di revisione dell'app su Google Play, poiché i controlli automatici e manuali caricheranno l'applicazione calcolatrice "innocua"", hanno affermato i ricercatori.

Tuttavia, a seconda dell'indirizzo IP dell'utente e se stava utilizzando un dispositivo mobile, veniva reindirizzato al back-end dell'app dannosa che ospitava il software di svuotamento del portafoglio MS Drainer.

Uno schema di come funzionava la falsa app WalletConnect per prosciugare determinati fondi degli utenti. Fonte: Check Point Research

Come altri sistemi di svuotamento del portafoglio, la falsa app WalletConnect chiedeva agli utenti di collegare un portafoglio, il che non sarebbe stato sospetto visto il funzionamento dell'app reale.

Agli utenti viene quindi chiesto di accettare varie autorizzazioni per "verificare il loro portafoglio", il che garantisce l'autorizzazione all'indirizzo dell'attaccante "per trasferire la quantità massima della risorsa specificata", ha affermato Check Point Research.

"L'applicazione recupera il valore di tutti gli asset nei wallet della vittima. Prima tenta di prelevare i token più costosi, seguiti da quelli più economici", ha aggiunto.

"Questo incidente evidenzia la crescente sofisticatezza delle tattiche dei criminali informatici", ha scritto Check Point Research. "L'app dannosa non si è basata su vettori di attacco tradizionali come permessi o keylogging. Invece, ha utilizzato contratti intelligenti e deep link per prosciugare silenziosamente le risorse una volta che gli utenti sono stati ingannati a utilizzare l'app".

Ha aggiunto che gli utenti devono essere "diffidenti nei confronti delle applicazioni che scaricano, anche quando sembrano legittime" e che gli app store devono migliorare il loro processo di verifica per bloccare le app dannose.

"La comunità crypto deve continuare a istruire gli utenti sui rischi associati alle tecnologie Web3", hanno affermato i ricercatori. "Questo caso dimostra che anche interazioni apparentemente innocue possono portare a perdite finanziarie significative".

Google non ha risposto immediatamente alla richiesta di commento.

Crypto-Sec: 2 revisori non individuano un difetto Penpie da 27 milioni di dollari, il bug "richiedi ricompense" di Pythia