TLDR

  • Un draineur de portefeuille cryptographique déguisé en WalletConnect était sur Google Play depuis 5 mois

  • L'application a volé plus de 70 000 $ à plus de 150 utilisateurs

  • Il a utilisé des techniques d'évasion avancées pour éviter d'être détecté

  • L'application malveillante a été téléchargée plus de 10 000 fois

  • C'est la première fois que les draineurs ciblent exclusivement les utilisateurs mobiles

Une application malveillante de vidage de portefeuille de cryptomonnaie déguisée en protocole populaire WalletConnect a réussi à échapper à la détection sur le Google Play Store pendant cinq mois, volant plus de 70 000 $ à des utilisateurs sans méfiance.

L'application, qui a été téléchargée plus de 10 000 fois, constitue le premier exemple de draineurs de portefeuille ciblant spécifiquement les utilisateurs mobiles.

Check Point Research, une société de sécurité informatique, a découvert l'arnaque et détaillé ses conclusions dans un article de blog du 26 septembre.

Les chercheurs ont découvert que la fausse application utilisait des techniques d’évasion sophistiquées pour rester indétectable sur l’App Store de Google du 21 mars jusqu’à sa récente suppression.

L'application malveillante est initialement apparue sur Google Play sous le nom de « Mestox Calculator » et a subi plusieurs changements de nom.

Malgré ces modifications, l’URL de l’application a continué à rediriger les utilisateurs vers un site Web de calculatrice apparemment inoffensif. Cette tactique a permis à l’application de passer le processus d’évaluation de Google Play, car les vérifications automatiques et manuelles chargeaient l’application de calculatrice inoffensive.

Cependant, la véritable nature de l’application a été révélée lorsque des utilisateurs disposant d’adresses IP spécifiques y ont accédé à partir d’appareils mobiles. Dans ces cas, les utilisateurs ont été redirigés vers un back-end malveillant hébergeant le logiciel de vidage de portefeuille connu sous le nom de MS Drainer.

La fausse application WalletConnect imite le protocole légitime, qui est couramment utilisé pour relier divers portefeuilles de crypto-monnaie à des applications de finance décentralisée (DeFi).

Cette familiarité a probablement contribué à la confiance des utilisateurs dans l’application. Lorsque les utilisateurs tentaient de connecter leur portefeuille (une action standard pour le véritable WalletConnect), ils étaient invités à accepter diverses autorisations pour « vérifier leur portefeuille ».

Cette action a accordé à l’adresse de l’attaquant l’autorisation de transférer le montant maximum d’actifs spécifiés.

Check Point Research a rapporté que plus de 150 utilisateurs ont été victimes de cette arnaque, perdant au total environ 70 000 dollars. Cependant, les plus de 10 000 utilisateurs ayant téléchargé l’application n’ont pas tous été touchés.

Certains utilisateurs n’ont pas connecté de portefeuille ou n’ont pas reconnu l’arnaque, tandis que d’autres n’ont peut-être pas répondu aux critères de ciblage spécifiques du logiciel malveillant.

Les chercheurs ont noté que le classement élevé de l’application dans les résultats de recherche était obtenu grâce à de fausses critiques et à une image de marque cohérente.

Certaines de ces critiques fabriquées mentionnaient même des fonctionnalités sans rapport avec la crypto-monnaie, obscurcissant encore davantage le véritable objectif de l’application.

Cet incident met en évidence la sophistication croissante des tactiques des cybercriminels dans le domaine des cryptomonnaies. Contrairement aux vecteurs d’attaque traditionnels qui s’appuient sur des autorisations ou des enregistrements de frappe, cette application malveillante a utilisé des contrats intelligents et des liens profonds pour drainer silencieusement des actifs une fois que les utilisateurs ont été amenés à l’utiliser.

Les chercheurs ont souligné la nécessité pour les utilisateurs d’être prudents lorsqu’ils téléchargent des applications, même celles qui semblent légitimes.

Ils ont également appelé les magasins d’applications à améliorer leurs processus de vérification pour empêcher que de telles applications malveillantes n’atteignent les utilisateurs.

Check Point Research a souligné l’importance d’une formation continue au sein de la communauté crypto sur les risques associés aux technologies Web3.

Ils ont souligné que ce cas illustre comment même des interactions apparemment inoffensives peuvent entraîner des pertes financières importantes.

La découverte de ce draineur de portefeuille sur Google Play souligne la nature évolutive des menaces dans l'écosystème des crypto-monnaies.

Les utilisateurs mobiles étant de plus en plus ciblés, le besoin de mesures de sécurité renforcées et de sensibilisation des utilisateurs devient plus critique.

Google n'a pas encore répondu aux demandes de commentaires sur le sujet. La suppression de l'application malveillante du Google Play Store marque la fin de sa présence après cinq mois, mais sert de rappel des défis permanents pour maintenir la sécurité dans le monde en évolution rapide des cryptomonnaies.

L'article Google Play héberge Crypto Wallet Drainer pendant cinq mois, 70 000 $ volés est apparu en premier sur Blockonomi.