Компания Check Point Research, занимающаяся информационной безопасностью, обнаружила мошенника, который использовал «передовые методы уклонения» в магазине Google Play и украл более 70 000 долларов США за пять месяцев.
Вредоносное приложение замаскировалось под протокол WalletConnect, известное приложение в сфере криптовалют, которое может связывать различные криптовалютные кошельки с приложениями децентрализованного финансирования (DeFi).
В сообщении в блоге от 26 сентября компания заявила, что это «первый раз, когда сливные программы нацелены исключительно на мобильных пользователей».
«Фальшивые отзывы и последовательный брендинг помогли приложению получить более 10 000 загрузок и занять высокие позиции в результатах поиска», — заявили в Check Point Research.
Более 150 пользователей лишились около 70 000 долларов США — не все пользователи приложения были атакованы, поскольку некоторые не подключили кошелек или не увидели, что это мошенничество. Другие «возможно, не соответствовали конкретным критериям таргетинга вредоносного ПО», заявили в Check Point Research.
Он добавил, что фальшивое приложение было доступно в магазине приложений Google 21 марта и использовало «передовые методы уклонения», чтобы оставаться незамеченным в течение более пяти месяцев. Сейчас оно удалено.
Приложение было впервые опубликовано под названием «Mestox Calculator» и несколько раз менялось, но URL-адрес его приложения по-прежнему указывал на, казалось бы, безобидный сайт с калькулятором.
«Этот метод позволяет злоумышленникам пройти процедуру проверки приложения в Google Play, поскольку автоматические и ручные проверки загружают «безобидное» приложение-калькулятор», — говорят исследователи.
Однако, в зависимости от местоположения IP-адреса пользователя и от того, использовал ли он мобильное устройство, он был перенаправлен на серверную часть вредоносного приложения, на которой размещалось программное обеспечение для выкачивания кошелька MS Drainer.
Как и другие схемы опустошения кошелька, поддельное приложение WalletConnect предлагало пользователям подключить кошелек, что не было бы подозрительным, учитывая то, как работает настоящее приложение.
Затем пользователям предлагается принять различные разрешения для «проверки своего кошелька», что дает разрешение злоумышленнику «перевести максимальную сумму указанного актива», сообщает Check Point Research.
По теме: Пользователи Polymarket жалуются на загадочные атаки на кошелек Google для входа в систему
«Приложение извлекает стоимость всех активов в кошельках жертвы. Сначала он пытается вывести более дорогие токены, а затем более дешевые», — добавили в компании.
«Этот инцидент подчеркивает растущую изощренность тактики киберпреступников», — пишет Check Point Research. «Вредоносное приложение не использовало традиционные векторы атак, такие как разрешения или кейлоггинг. Вместо этого он использовал смарт-контракты и глубокие ссылки для незаметного истощения ресурсов, когда пользователей обманом заставляли использовать приложение».
В нем добавлено, что пользователи должны «осторожно относиться к приложениям, которые они загружают, даже если они кажутся законными», и что магазины приложений должны улучшить процесс проверки, чтобы остановить вредоносные приложения.
«Криптовалютное сообщество должно продолжать информировать пользователей о рисках, связанных с технологиями Web3», — заявили исследователи. «Этот случай показывает, что даже, казалось бы, безобидные взаимодействия могут привести к значительным финансовым потерям».
Google не сразу ответил на запрос о комментариях.
Crypto-Sec: 2 аудитора пропустили ошибку Penpie на 27 миллионов долларов и ошибку Pythia с «требованием вознаграждения»
