IT 安全公司 Check Point Research 发现了一个加密钱包窃取程序,它使用 Google Play 商店的“高级逃避技术”在五个月内窃取了超过 70,000 美元。
该恶意应用程序伪装成 WalletConnect 协议,这是加密领域中知名的应用程序,可以将各种加密钱包链接到去中心化金融 (DeFi) 应用程序。
该公司在 9 月 26 日的一篇博客文章中表示,这标志着“消耗器首次专门针对移动用户”。
Check Point Research 表示:“虚假评论和一致的品牌推广帮助该应用在搜索结果中排名靠前,下载量超过 10,000 次。”
超过 150 名用户被盗取了约 7 万美元——并非所有应用程序用户都成为目标,因为有些用户没有连接钱包或认为这是骗局。Check Point Research 表示,其他人“可能不符合恶意软件的特定目标标准”。
一些关于伪造的 WalletConnect 应用程序的虚假评论提到了与加密货币无关的功能。资料来源:Check Point Research
该公司还补充道,这款假冒应用于 3 月 21 日在谷歌应用商店上架,并使用“先进的规避技术”在五个多月内未被发现。目前,该应用已被删除。
该应用程序最初以“Mestox Calculator”的名称发布,并经过多次更改,但其应用程序 URL 仍然指向一个看似无害的带有计算器的网站。
研究人员表示:“这种技术可以让攻击者通过 Google Play 中的应用审核流程,因为自动和手动检查都会加载‘无害’的计算器应用程序。”
但是,根据用户的 IP 地址位置以及他们是否使用移动设备,他们会被重定向到包含钱包耗尽软件 MS Drainer 的恶意应用程序后端。
伪造的 WalletConnect 应用程序如何盗取某些用户资金的示意图。资料来源:Check Point Research
与其他钱包窃取计划非常相似,伪造的 WalletConnect 应用程序会提示用户连接钱包——由于真实应用程序的工作方式,这并不会引起怀疑。
Check Point Research 表示,然后要求用户接受各种权限以“验证他们的钱包”,这授予攻击者的地址“转移最大金额的指定资产”的权限。
“该应用程序会检索受害者钱包中所有资产的价值。它首先尝试提取较昂贵的代币,然后再提取较便宜的代币,”它补充道。
Check Point Research 写道:“这起事件凸显了网络犯罪手段日益复杂化。这款恶意应用程序并不依赖权限或键盘记录等传统攻击媒介。相反,它使用智能合约和深度链接,在用户被诱骗使用该应用程序后悄悄盗取资产。”
它补充说,用户必须“警惕所下载的应用程序,即使它们看起来是合法的”,并且应用商店必须改进其验证流程以阻止恶意应用程序。
研究人员表示:“加密社区需要继续教育用户有关 Web3 技术的风险。这个案例表明,即使是看似无害的互动也可能导致重大财务损失。”
谷歌没有立即回应置评请求。
Crypto-Sec:两名审计员未发现价值 2700 万美元的 Penpie 漏洞和 Pythia 的“索取奖励”漏洞