Компания Check Point Research, занимающаяся ИТ-безопасностью, обнаружила мошенника, который использовал «продвинутые методы уклонения» от уплаты налогов в магазине Google Play, чтобы украсть более 70 000 долларов за пять месяцев.

Вредоносное приложение маскировалось под протокол WalletConnect — известное приложение в криптопространстве, которое может связывать различные криптокошельки с приложениями децентрализованных финансов (DeFi).

Компания заявила в своем сообщении в блоге от 26 сентября, что это «первый случай, когда сливальщики нацелены исключительно на мобильных пользователей».

«Поддельные отзывы и последовательный брендинг помогли приложению получить более 10 000 загрузок и занять высокие позиции в результатах поиска», — сообщает Check Point Research.

Более 150 пользователей были украдены на сумму около $70 000 — не все пользователи приложения были атакованы, поскольку некоторые не подключили кошелек или увидели, что это мошенничество. Другие «могли не соответствовать конкретным критериям таргетинга вредоносного ПО», — заявили в Check Point Research.

В некоторых поддельных отзывах о поддельном приложении WalletConnect упоминались функции, не имеющие никакого отношения к криптовалюте. Источник: Check Point Research

Он добавил, что поддельное приложение было доступно в магазине приложений Google 21 марта и использовало «продвинутые методы уклонения», чтобы оставаться незамеченным в течение более пяти месяцев. Теперь оно удалено.

Приложение впервые было опубликовано под названием «Mestox Calculator» и несколько раз менялось, в то время как URL-адрес приложения по-прежнему указывал на, казалось бы, безобидный веб-сайт с калькулятором.

«Эта техника позволяет злоумышленникам пройти процесс проверки приложений в Google Play, поскольку автоматические и ручные проверки загружают «безобидное» приложение-калькулятор», — заявили исследователи.

Однако в зависимости от местоположения IP-адреса пользователя и от того, использовалось ли им мобильное устройство, они перенаправлялись на серверную часть вредоносного приложения, в котором размещалось программное обеспечение для опустошения кошелька MS Drainer.

Схема того, как работало поддельное приложение WalletConnect для кражи средств определенных пользователей. Источник: Check Point Research

Как и другие схемы опустошения кошельков, поддельное приложение WalletConnect предлагало пользователям подключить кошелек, что не вызвало бы подозрений, учитывая принцип работы настоящего приложения.

Затем пользователям предлагается принять различные разрешения для «проверки своего кошелька», что дает злоумышленнику разрешение «перевести максимальную сумму указанного актива», сообщает Check Point Research.

«Приложение извлекает стоимость всех активов в кошельках жертвы. Сначала оно пытается вывести более дорогие токены, а затем более дешевые», — добавили в нем.

«Этот инцидент подчеркивает растущую изощренность тактики киберпреступников», — пишет Check Point Research. «Вредоносное приложение не полагалось на традиционные векторы атак, такие как разрешения или кейлоггерство. Вместо этого оно использовало смарт-контракты и глубокие ссылки для тихого слива активов, как только пользователи обманом заставляли использовать приложение».

В нем также говорится, что пользователи должны «быть осторожными в отношении загружаемых ими приложений, даже если они кажутся легитимными», а магазины приложений должны улучшить процесс проверки, чтобы остановить вредоносные приложения.

«Криптовалютному сообществу необходимо продолжать информировать пользователей о рисках, связанных с технологиями Web3», — заявили исследователи. «Этот случай показывает, что даже, казалось бы, безобидные взаимодействия могут привести к значительным финансовым потерям».

Компания Google не отреагировала на просьбу прокомментировать ситуацию.

Crypto-Sec: 2 аудитора не обнаружили уязвимость Penpie на сумму 27 млн ​​долларов и ошибку «заявки на вознаграждение» Pythia