コインテレグラフによると、ITセキュリティ企業チェックポイント・リサーチは、Google Playストアで高度な回避技術を使用した仮想通貨ウォレット流出アプリを特定し、5か月で7万ドル以上の盗難に至った。この悪質なアプリは、さまざまな仮想通貨ウォレットを分散型金融（DeFi）アプリケーションに接続する、仮想通貨業界ではよく知られたアプリケーションであるウォレットコネクトプロトコルを装っていた。

チェックポイント・リサーチは9月26日付のブログ記事で、今回の事件は、ドレイナーがモバイルユーザーのみをターゲットにした初めての事例だと指摘した。このアプリは、偽のレビューと一貫したブランド化に助けられ、検索結果で上位にランクインし、1万回以上のダウンロードを達成した。しかし、すべてのユーザーがターゲットになったわけではない。ウォレットを接続していなかったり、詐欺に気付いていなかったり、マルウェアの特定のターゲット基準を満たしていなかったユーザーもいたかもしれない。

この偽アプリは3月21日からGoogleのアプリストアで入手可能だったが、高度な回避技術により5か月以上も検出されなかった。当初「Mestox Calculator」という名前で公開されたこのアプリの名前は何度か変更されたが、アプリのURLは引き続き、一見無害な計算機のウェブサイトを指していた。この戦術により、自動および手動のチェックで無害な計算機アプリケーションが読み込まれるため、アプリはGoogle Playのレビュープロセスを通過できた。ユーザーのIPアドレスの場所とデバイスの種類に応じて、ウォレットを空にするソフトウェアMS Drainerを収容する悪質なアプリのバックエンドにリダイレクトされた。

偽装された WalletConnect アプリは、ユーザーにウォレットを接続するよう促しましたが、実際のアプリの機能を考えると、この要求は疑わしいものではありませんでした。次に、ユーザーは「ウォレットを確認する」ためのさまざまな許可を承認するよう求められ、これにより、攻撃者のアドレスに指定された資産の最大額を転送する許可が与えられました。このアプリケーションは、被害者のウォレット内のすべての資産の価値を取得し、最初に高価なトークンを引き出そうとし、次に安価なトークンを引き出そうとしました。

チェック・ポイント・リサーチは、サイバー犯罪者の戦術がますます巧妙化していることを強調し、この悪質なアプリは権限やキーロギングなどの従来の攻撃ベクトルに頼っていないと指摘した。代わりに、このアプリはスマートコントラクトとディープリンクを使用して、ユーザーがアプリを使用するように誘導された後、密かに資産を流出させていた。研究者らは、たとえ合法的に見えてもダウンロードするアプリには注意するようユーザーに促し、悪質なアプリを防ぐためにアプリストアに検証プロセスの改善を求めた。また、一見無害なやり取りでさえも、大きな経済的損失につながる可能性があるため、Web3テクノロジーに関連するリスクについて暗号通貨コミュニティを教育することの重要性も強調した。

Googleはコメントの要請にすぐには応じなかった。