Según Cointelegraph, la empresa de seguridad informática Check Point Research ha identificado una aplicación de vaciado de monederos de criptomonedas que utilizaba técnicas avanzadas de evasión en la tienda Google Play, lo que dio lugar al robo de más de 70.000 dólares en cinco meses. La aplicación maliciosa se hacía pasar por el protocolo WalletConnect, una conocida aplicación en el espacio criptográfico que conecta varios monederos de criptomonedas a aplicaciones de finanzas descentralizadas (DeFi).

En una publicación de blog del 26 de septiembre, Check Point Research señaló que este incidente marca la primera vez que los drenadores se han dirigido exclusivamente a usuarios móviles. La aplicación logró más de 10.000 descargas al ocupar un lugar destacado en los resultados de búsqueda, con la ayuda de reseñas falsas y una marca consistente. Sin embargo, no todos los usuarios fueron el objetivo; algunos no conectaron una billetera o no reconocieron la estafa, mientras que otros pueden no haber cumplido con los criterios específicos de selección del malware.

La aplicación falsa estuvo disponible en la tienda de aplicaciones de Google desde el 21 de marzo y permaneció sin ser detectada durante más de cinco meses debido a sus avanzadas técnicas de evasión. Inicialmente publicada bajo el nombre de “Mestox Calculator”, el nombre de la aplicación cambió varias veces, pero la URL de la aplicación continuó apuntando a un sitio web aparentemente inofensivo con una calculadora. Esta táctica permitió que la aplicación pasara el proceso de revisión de Google Play, ya que las verificaciones automáticas y manuales cargaban la aplicación de calculadora inofensiva. Dependiendo de la ubicación de la dirección IP del usuario y el tipo de dispositivo, se lo redirigía al backend de la aplicación maliciosa que albergaba el software MS Drainer, que drenaba la billetera.

La aplicación falsificada WalletConnect solicitaba a los usuarios que conectaran una billetera, una solicitud que no habría parecido sospechosa dada la funcionalidad de la aplicación real. Luego se les pedía a los usuarios que aceptaran varios permisos para "verificar su billetera", lo que otorgaba a la dirección del atacante permiso para transferir la cantidad máxima del activo especificado. La aplicación recuperaba el valor de todos los activos en las billeteras de la víctima e intentaba retirar primero los tokens más caros y luego los más baratos.

Check Point Research destacó la creciente sofisticación de las tácticas de los cibercriminales, señalando que la aplicación maliciosa no dependía de vectores de ataque tradicionales como permisos o keylogging. En cambio, utilizaba contratos inteligentes y enlaces profundos para drenar silenciosamente los activos una vez que los usuarios eran engañados para usar la aplicación. Los investigadores instaron a los usuarios a ser cautelosos con las aplicaciones que descargan, incluso si parecen legítimas, y pidieron a las tiendas de aplicaciones que mejoren sus procesos de verificación para evitar aplicaciones maliciosas. También destacaron la importancia de educar a la comunidad criptográfica sobre los riesgos asociados con las tecnologías Web3, ya que incluso las interacciones aparentemente inocuas pueden provocar pérdidas financieras significativas.

Google no respondió inmediatamente a una solicitud de comentarios.