W oszałamiającym naruszeniu bezpieczeństwa firma informatyczna Check Point Research odkryła wyrafinowany program do wysysania kryptowalut, który przez ponad pięć miesięcy pozostawał niezauważony w Google Play Store, kradnąc ponad 70 000 USD od niczego niepodejrzewających użytkowników. Oto, jak to się stało i dlaczego jest to poważny sygnał ostrzegawczy dla użytkowników kryptowalut mobilnych.

Zamaskowane zagrożenie

Złośliwa aplikacja podszywała się pod WalletConnect, legalny i szeroko stosowany protokół w przestrzeni kryptowalut, który łączy portfele z aplikacjami zdecentralizowanych finansów (DeFi). Udało jej się nawet uniknąć wykrycia, stosując zaawansowane techniki unikania — co oznacza pierwszy przypadek drenażu ukierunkowanego specjalnie na użytkowników mobilnych.

Jak to się stało:

Fałszywe recenzje i budowanie marki pomogły aplikacji wspiąć się w rankingu Google Play, zapewniając ponad 10 000 pobrań.

Choć niektórzy użytkownicy (ci, którzy nie podłączyli portfela lub nie zauważyli oszustwa) nie ucierpieli, ponad 150 ofiar straciło aktywa o wartości około 70 tys. dolarów.

Atakujący wykorzystali szereg fałszywych funkcji i nieistotnych opinii, aby zbudować zaufanie i odwrócić uwagę użytkowników.

Aplikacja, która pojawiła się po raz pierwszy 21 marca pod niewinną nazwą „Mestox Calculator”, przeszła wiele zmian nazwy, aby uniknąć wykrycia. Przez cały czas jej adres URL nadal wskazywał na nieszkodliwy kalkulator, co pomagało jej przejść zarówno automatyczne, jak i ręczne kontrole Google Play.

Podstępne taktyki:

Złośliwa aplikacja potajemnie atakowała użytkowników na podstawie ich lokalizacji IP i typu urządzenia. Jeśli użytkownik spełniał kryteria atakujących, był przekierowywany do zaplecza zawierającego oprogramowanie do opróżniania portfela znane jako MS Drainer.

Oto jak działało oszustwo:

1. Fałszywa aplikacja WalletConnect prosiła użytkowników o podłączenie portfela kryptowalutowego, imitując w ten sposób zachowanie zgodne z prawem.

2. Następnie użytkownicy zostali poproszeni o zaakceptowanie uprawnień do „weryfikacji swojego portfela”, co w rzeczywistości dało oszustowi kontrolę nad transferem maksymalnej kwoty aktywów.

3. Aplikacja skanowała portfel ofiary i w pierwszej kolejności wypłacała najcenniejsze tokeny.

Nowy poziom wyrafinowania

To, co wyróżnia ten atak, to jego złożoność. Nie polegał na typowych taktykach, takich jak keylogging czy podejrzane uprawnienia. Zamiast tego wykorzystywał inteligentne kontrakty i głębokie linki, aby po cichu opróżnić fundusze użytkowników, gdy ci zostali oszukani i połączyli swój portfel.

„Ten incydent pokazuje rosnącą wyrafinowaną naturę cyberprzestępców” – zauważył Check Point Research. „Użytkownicy muszą być czujni, nawet jeśli aplikacje wydają się legalne”. Wezwali również sklepy z aplikacjami do poprawy kontroli bezpieczeństwa, aby zapobiec podobnym naruszeniom w przyszłości.

Na wynos

To wydarzenie jest trzeźwiącym przypomnieniem, że nawet pozornie niegroźne aplikacje na zaufanych platformach, takich jak Google Play, mogą stwarzać poważne ryzyko. Dla użytkowników kryptowalut każda interakcja — bez względu na to, jak drobna — może mieć katastrofalne konsekwencje, jeśli nie zachowasz ostrożności.

Najważniejsza lekcja: zawsze sprawdzaj autentyczność każdej aplikacji związanej z kryptowalutami i zachowaj ostrożność przy udzielaniu uprawnień lub łączeniu swojego portfela.

Fałszywa aplikacja WalletConnect została już usunięta, ale szkody, jakie wyrządziła, podkreślają potrzebę ciągłej edukacji na temat zagrożeń w rozwijającym się świecie technologii Web3.

Zachowaj bezpieczeństwo i zawsze bądź czujny na podejrzane aplikacje! 👀

#CryptoSecurity#WalletDrainScam#MobileCryptoRisks #Web3Safety