A empresa de segurança de TI Check Point Research descobriu um fraudador de carteiras de criptomoedas que usou “técnicas avançadas de evasão” na Google Play Store para roubar mais de US$ 70.000 em cinco meses.

O aplicativo malicioso se disfarçou como o protocolo WalletConnect, um aplicativo bem conhecido no espaço criptográfico que pode vincular uma variedade de carteiras criptográficas a aplicativos de finanças descentralizadas (DeFi).

A empresa disse em uma postagem de blog de 26 de setembro que esta é “a primeira vez que os drenadores visam exclusivamente usuários móveis”.

“Avaliações falsas e branding consistente ajudaram o aplicativo a atingir mais de 10.000 downloads, classificando-o bem nos resultados de pesquisa”, disse a Check Point Research.

Mais de 150 usuários perderam cerca de US$ 70.000 — nem todos os usuários do aplicativo foram alvos, pois alguns não conectaram uma carteira ou viram que era um golpe. Outros "podem não ter atendido aos critérios de segmentação específicos do malware", disse a Check Point Research.

Algumas das avaliações falsas no aplicativo falsificado WalletConnect mencionaram recursos que não tinham nada a ver com cripto. Fonte: Check Point Research

Ele acrescentou que o aplicativo falso foi disponibilizado na loja de aplicativos do Google em 21 de março e usou “técnicas avançadas de evasão” para permanecer sem ser detectado por mais de cinco meses. Agora, ele foi removido.

O aplicativo foi publicado pela primeira vez com o nome de “Calculadora Mestox” e foi alterado diversas vezes enquanto a URL do aplicativo ainda apontava para um site aparentemente inofensivo com uma calculadora.

“Essa técnica permite que os invasores passem pelo processo de revisão do aplicativo no Google Play, pois as verificações automatizadas e manuais carregarão o aplicativo da calculadora ‘inofensivo’”, disseram os pesquisadores.

No entanto, dependendo da localização do endereço IP do usuário e se ele estava usando um dispositivo móvel, ele era redirecionado para o back-end do aplicativo malicioso que hospedava o software MS Drainer, que drenava a carteira.

Um diagrama de como o falso aplicativo WalletConnect funcionou para drenar certos fundos de usuários. Fonte: Check Point Research

Assim como outros esquemas de esvaziamento de carteiras, o aplicativo falso WalletConnect solicitava que os usuários conectassem uma carteira — o que não seria suspeito devido ao funcionamento do aplicativo real.

Os usuários são então solicitados a aceitar várias permissões para “verificar sua carteira”, o que concede permissão para o endereço do invasor “transferir a quantia máxima do ativo especificado”, disse a Check Point Research.

“O aplicativo recupera o valor de todos os ativos nas carteiras da vítima. Primeiro, ele tenta sacar os tokens mais caros, seguidos pelos mais baratos”, acrescentou.

“Este incidente destaca a crescente sofisticação das táticas de cibercriminosos”, escreveu a Check Point Research. “O aplicativo malicioso não dependia de vetores de ataque tradicionais, como permissões ou keylogging. Em vez disso, ele usava contratos inteligentes e links profundos para drenar silenciosamente os ativos quando os usuários eram enganados a usar o aplicativo.”

Ele acrescentou que os usuários devem ser “cautelosos com os aplicativos que baixam, mesmo quando parecem legítimos” e que as lojas de aplicativos devem melhorar seu processo de verificação para impedir aplicativos maliciosos.

“A comunidade cripto precisa continuar a educar os usuários sobre os riscos associados às tecnologias Web3”, disseram os pesquisadores. “Este caso ilustra que até mesmo interações aparentemente inócuas podem levar a perdas financeiras significativas.”

O Google não respondeu imediatamente a um pedido de comentário.

Crypto-Sec: 2 auditores não percebem falha de $ 27 milhões no Penpie, bug de ‘reivindicação de recompensas’ do Pythia