IT drošības uzņēmums Check Point Research ir atklājis kriptovalūtu maku, kas Google Play veikalā izmantoja "uzlabotas izvairīšanās metodes", lai piecu mēnešu laikā nozagtu vairāk nekā 70 000 USD.

Ļaunprātīgā lietotne maskējās kā WalletConnect protokols — kriptovalūtā plaši pazīstama lietotne, kas var saistīt dažādus kriptovalūtu makus ar decentralizētas finanšu (DeFi) lietojumprogrammām.

Uzņēmums 26. septembra emuāra ierakstā norādīja, ka tas ir "pirmo reizi, kad drenāžas ir paredzētas tikai mobilo sakaru lietotājiem".

“Viltus atsauksmes un konsekvents zīmols palīdzēja lietotnei sasniegt vairāk nekā 10 000 lejupielādes, ieņemot augstu vietu meklēšanas rezultātos,” norāda Check Point Research.

Vairāk nekā 150 lietotājiem tika atņemti aptuveni 70 000 $ — ne visi lietotņu lietotāji tika atlasīti, jo daži nepievienoja maku vai uzskatīja, ka tā ir krāpniecība. Citi "iespējams, neatbilda ļaunprātīgas programmatūras specifiskajiem mērķauditorijas atlases kritērijiem", teica Check Point Research.

Dažās viltotās atsauksmēs par viltotu lietotni WalletConnect tika minētas funkcijas, kurām nebija nekāda sakara ar kriptovalūtu. Avots: Check Point Research

Tā piebilst, ka viltotā lietotne Google lietotņu veikalā tika darīta pieejama 21. martā, un tajā tika izmantotas "uzlabotas izvairīšanās metodes", lai paliktu neatklāta vairāk nekā piecus mēnešus. Tagad tas ir noņemts.

Lietotne pirmo reizi tika publicēta ar nosaukumu “Mestox Calculator” un tika vairākas reizes mainīta, kamēr tās lietojumprogrammas URL joprojām norādīja uz šķietami nekaitīgu vietni ar kalkulatoru. 

"Šis paņēmiens ļauj uzbrucējiem izturēt lietotņu pārskatīšanas procesu pakalpojumā Google Play, jo automātiskās un manuālās pārbaudes ielādēs" nekaitīgo" kalkulatora lietojumprogrammu," sacīja pētnieki. 

Tomēr atkarībā no lietotāja IP adreses atrašanās vietas un, ja viņš izmantoja mobilo ierīci, viņi tika novirzīti uz ļaunprātīgās lietotnes aizmuguri, kurā atradās maku iztukšošanas programmatūra MS Drainer.

Diagramma par to, kā viltotā lietotne WalletConnect darbojās, lai iztukšotu noteiktus lietotāju līdzekļus. Avots: Check Point Research

Līdzīgi kā citas maka iztukšošanas shēmas, viltotā lietotne WalletConnect mudināja lietotājus pieslēgt maku — tas nebūtu aizdomīgi, ņemot vērā to, kā darbojas īstā lietotne.

Pēc tam lietotājiem tiek lūgts pieņemt dažādas atļaujas, lai “verificētu savu maku”, kas piešķir atļauju uzbrucēja adresei “pārsūtīt maksimālo norādītā īpašuma summu”, sacīja Check Point Research.

“Lietojumprogramma izgūst visu cietušā makos esošo īpašumu vērtību. Vispirms tas mēģina izņemt dārgākos žetonus, pēc tam lētākos,” tā piebilda.

"Šis incidents izceļ kibernoziedznieku taktikas pieaugošo sarežģītību," raksta Check Point Research. “Ļaunprātīgā lietotne nepaļāvās uz tradicionāliem uzbrukuma vektoriem, piemēram, atļaujām vai taustiņu reģistrēšanu. Tā vietā tā izmantoja viedos līgumus un dziļās saites, lai klusi iztukšotu līdzekļus, kad lietotāji tika pievilti lietotni izmantot.

Tas piebilda, ka lietotājiem ir “jāuzmanās no lejupielādētajām lietojumprogrammām, pat ja tās šķiet likumīgas”, un lietotņu veikaliem ir jāuzlabo verifikācijas process, lai apturētu ļaunprātīgas lietotnes.

"Kripto kopienai ir jāturpina izglītot lietotāji par riskiem, kas saistīti ar Web3 tehnoloģijām," sacīja pētnieki. "Šis gadījums parāda, ka pat šķietami nekaitīga mijiedarbība var radīt ievērojamus finansiālus zaudējumus."

Google nekavējoties neatbildēja uz komentāru pieprasījumu.

Crypto-Sec: 2 revidentiem trūkst 27 miljonu dolāru Penpie defekta, Pythia kļūdas “pieprasīt atlīdzības”