Secondo Cointelegraph, la società di sicurezza informatica Check Point Research ha identificato un'app di drenaggio del portafoglio crittografico che ha utilizzato tecniche di evasione avanzate sul Google Play Store, con conseguente furto di oltre $ 70.000 in cinque mesi. L'app dannosa si è mascherata da protocollo WalletConnect, un'applicazione ben nota nello spazio crittografico che collega vari portafogli crittografici ad applicazioni di finanza decentralizzata (DeFi).
In un post del blog datato 26 settembre, Check Point Research ha osservato che questo incidente segna la prima volta che i drainer hanno preso di mira esclusivamente gli utenti mobili. L'app ha raggiunto oltre 10.000 download classificandosi in alto nei risultati di ricerca, aiutata da recensioni false e da un marchio coerente. Tuttavia, non tutti gli utenti sono stati presi di mira; alcuni non hanno collegato un portafoglio o riconosciuto la truffa, mentre altri potrebbero non aver soddisfatto i criteri di targeting specifici del malware.
L'app falsa era disponibile sull'app store di Google dal 21 marzo ed è rimasta inosservata per oltre cinque mesi grazie alle sue tecniche di evasione avanzate. Inizialmente pubblicata con il nome "Mestox Calculator", il nome dell'app è cambiato più volte, ma l'URL dell'applicazione ha continuato a puntare a un sito Web apparentemente innocuo con una calcolatrice. Questa tattica ha consentito all'app di superare il processo di revisione di Google Play, poiché i controlli automatici e manuali avrebbero caricato l'innocua applicazione calcolatrice. A seconda della posizione dell'indirizzo IP dell'utente e del tipo di dispositivo, questi venivano reindirizzati al back-end dell'app dannosa che ospitava il software di svuotamento del portafoglio MS Drainer.
L'app WalletConnect falsificata ha chiesto agli utenti di collegare un portafoglio, una richiesta che non sarebbe sembrata sospetta data la funzionalità dell'app reale. Agli utenti è stato quindi chiesto di accettare varie autorizzazioni per "verificare il proprio portafoglio", il che ha concesso all'indirizzo dell'attaccante l'autorizzazione a trasferire la quantità massima dell'asset specificato. L'applicazione ha recuperato il valore di tutti gli asset nei portafogli della vittima, tentando di prelevare prima i token più costosi, seguiti da quelli più economici.
Check Point Research ha sottolineato la crescente sofisticatezza delle tattiche dei criminali informatici, osservando che l'app dannosa non si basava su vettori di attacco tradizionali come permessi o keylogging. Invece, utilizzava contratti intelligenti e deep link per prosciugare silenziosamente le risorse una volta che gli utenti venivano ingannati a utilizzare l'app. I ricercatori hanno esortato gli utenti a essere cauti riguardo alle applicazioni che scaricano, anche se sembrano legittime, e hanno chiesto agli app store di migliorare i loro processi di verifica per prevenire le app dannose. Hanno anche sottolineato l'importanza di istruire la comunità crypto sui rischi associati alle tecnologie Web3, poiché anche interazioni apparentemente innocue possono portare a perdite finanziarie significative.
Google non ha risposto immediatamente alla richiesta di commento.