Firma zajmująca się bezpieczeństwem IT Check Point Research odkryła oszusta zajmującego się wyłudzaniem kryptowalut, który wykorzystywał „zaawansowane techniki unikania” w sklepie Google Play do kradzieży ponad 70 000 dolarów w ciągu pięciu miesięcy.

Złośliwa aplikacja podszywała się pod protokół WalletConnect, znaną aplikację w branży kryptowalut, która umożliwiała łączenie różnych portfeli kryptowalutowych z aplikacjami finansów zdecentralizowanych (DeFi).

Firma poinformowała 26 września w poście na blogu, że „po raz pierwszy firmy zajmujące się usuwaniem danych obrały za cel wyłącznie użytkowników urządzeń mobilnych”.

„Fałszywe recenzje i spójny branding pomogły aplikacji osiągnąć ponad 10 000 pobrań dzięki wysokiej pozycji w wynikach wyszukiwania” – twierdzi Check Point Research.

Ponad 150 użytkowników straciło około 70 000 dolarów — nie wszyscy użytkownicy aplikacji byli celem, ponieważ niektórzy nie podłączyli portfela lub uznali to za oszustwo. Inni „mogli nie spełniać określonych kryteriów ukierunkowania złośliwego oprogramowania” — powiedział Check Point Research.

Niektóre z fałszywych recenzji na temat sfałszowanej aplikacji WalletConnect wspominały o funkcjach, które nie miały nic wspólnego z kryptowalutami. Źródło: Check Point Research

Dodał, że fałszywa aplikacja została udostępniona w sklepie z aplikacjami Google 21 marca i wykorzystywała „zaawansowane techniki unikania”, aby pozostać niewykrytą przez ponad pięć miesięcy. Teraz została usunięta.

Aplikacja została pierwotnie opublikowana pod nazwą „Mestox Calculator” i była kilkakrotnie zmieniana, a jej adres URL nadal wskazywał na pozornie niegroźną stronę internetową z kalkulatorem.

„Ta technika umożliwia atakującym przejście przez proces przeglądu aplikacji w Google Play, ponieważ automatyczne i ręczne kontrole ładują „niegroźną” aplikację kalkulatora” – stwierdzili badacze.

Jednak w zależności od adresu IP użytkownika i tego, czy korzystał on z urządzenia mobilnego, był on przekierowywany do zaplecza złośliwej aplikacji, w którym znajdowało się oprogramowanie do czyszczenia portfela MS Drainer.

Schemat pokazujący, jak fałszywa aplikacja WalletConnect działała, aby wysysać fundusze niektórych użytkowników. Źródło: Check Point Research

Podobnie jak w przypadku innych oszustw mających na celu opróżnienie portfela, fałszywa aplikacja WalletConnect nakłaniała użytkowników do podłączenia portfela — co nie byłoby podejrzane, biorąc pod uwagę sposób działania prawdziwej aplikacji.

Następnie użytkownicy są proszeni o zaakceptowanie różnych uprawnień w celu „zweryfikowania swojego portfela”, co przyznaje adresowi atakującego pozwolenie na „przelanie maksymalnej kwoty określonego zasobu” – poinformowała firma Check Point Research.

„Aplikacja pobiera wartość wszystkich aktywów w portfelach ofiary. Najpierw próbuje wypłacić droższe tokeny, a następnie tańsze” – dodał.

„Ten incydent uwypukla rosnącą wyrafinowaną taktykę cyberprzestępców” – napisał Check Point Research. „Złośliwa aplikacja nie opierała się na tradycyjnych wektorach ataku, takich jak uprawnienia czy keylogger. Zamiast tego wykorzystywała inteligentne kontrakty i głębokie linki, aby po cichu wyczerpywać zasoby, gdy użytkownicy zostali oszukani i zaczęli korzystać z aplikacji”.

Dodał, że użytkownicy muszą „zachować ostrożność w stosunku do pobieranych aplikacji, nawet jeśli wydają się one legalne” i że sklepy z aplikacjami muszą usprawnić proces weryfikacji, aby zatrzymać złośliwe aplikacje.

„Społeczność kryptowalut musi nadal edukować użytkowników na temat ryzyka związanego z technologiami Web3” – powiedzieli badacze. „Przypadek ten pokazuje, że nawet pozornie niegroźne interakcje mogą prowadzić do znacznych strat finansowych”.

Google nie odpowiedziało natychmiast na prośbę o komentarz.

Crypto-Sec: 2 audytorów nie zauważyło luki w Penpie o wartości 27 mln USD oraz błędu „żądania nagród” w Pythii