Crypto Wallet Drainer App Steals $70,000 Using Advanced Evasion Techniques

Binance News · 2024-09-30T01:34:00.000Z

According to Cointelegraph, IT security firm Check Point Research has identified a crypto wallet drainer app that used advanced evasion techniques on the Google Play store, resulting in the theft of over $70,000 in five months. The malicious app masqueraded as the WalletConnect protocol, a well-known application in the crypto space that connects various crypto wallets to decentralized finance (DeFi) applications. In a blog post dated September 26, Check Point Research noted that this incident marks the first time drainers have exclusively targeted mobile users. The app achieved over 10,000 downloads by ranking high in search results, aided by fake reviews and consistent branding. However, not all users were targeted; some did not connect a wallet or recognized the scam, while others may not have met the malware’s specific targeting criteria. The fake app was available on Google’s app store from March 21 and remained undetected for over five months due to its advanced evasion techniques. Initially published under the name “Mestox Calculator,” the app’s name changed several times, but its application URL continued to point to a seemingly harmless website with a calculator. This tactic allowed the app to pass Google Play’s review process, as automated and manual checks would load the harmless calculator application. Depending on the user’s IP address location and device type, they were redirected to the malicious app back-end housing the wallet-draining software MS Drainer. The spoofed WalletConnect app prompted users to connect a wallet, a request that would not have seemed suspicious given the real app’s functionality. Users were then asked to accept various permissions to “verify their wallet,” which granted the attacker’s address permission to transfer the maximum amount of the specified asset. The application retrieved the value of all assets in the victim’s wallets, attempting to withdraw the more expensive tokens first, followed by the cheaper ones. Check Point Research emphasized the growing sophistication of cybercriminal tactics, noting that the malicious app did not rely on traditional attack vectors like permissions or keylogging. Instead, it used smart contracts and deep links to silently drain assets once users were tricked into using the app. The researchers urged users to be cautious about the applications they download, even if they appear legitimate, and called for app stores to improve their verification processes to prevent malicious apps. They also stressed the importance of educating the crypto community about the risks associated with Web3 technologies, as even seemingly innocuous interactions can lead to significant financial losses. Google did not immediately respond to a request for comment.

De acordo com a Cointelegraph, a empresa de segurança de TI Check Point Research identificou um aplicativo drenador de carteiras criptográficas que usou técnicas avançadas de evasão na loja Google Play, resultando no roubo de mais de US$ 70.000 em cinco meses. O aplicativo malicioso se disfarçou como o protocolo WalletConnect, um aplicativo bem conhecido no espaço criptográfico que conecta várias carteiras criptográficas a aplicativos de finanças descentralizadas (DeFi).
Em uma postagem de blog datada de 26 de setembro, a Check Point Research observou que esse incidente marca a primeira vez que os drainers miraram exclusivamente em usuários móveis. O aplicativo obteve mais de 10.000 downloads ao obter uma classificação alta nos resultados de pesquisa, auxiliado por avaliações falsas e branding consistente. No entanto, nem todos os usuários foram alvos; alguns não conectaram uma carteira ou reconheceram o golpe, enquanto outros podem não ter atendido aos critérios de segmentação específicos do malware.
O aplicativo falso estava disponível na loja de aplicativos do Google desde 21 de março e permaneceu sem ser detectado por mais de cinco meses devido às suas técnicas avançadas de evasão. Inicialmente publicado sob o nome de “Mestox Calculator”, o nome do aplicativo mudou várias vezes, mas a URL do aplicativo continuou a apontar para um site aparentemente inofensivo com uma calculadora. Essa tática permitiu que o aplicativo passasse pelo processo de revisão do Google Play, pois as verificações automatizadas e manuais carregariam o aplicativo da calculadora inofensiva. Dependendo da localização do endereço IP do usuário e do tipo de dispositivo, eles eram redirecionados para o back-end do aplicativo malicioso que abrigava o software MS Drainer, que drena a carteira.
O aplicativo falsificado WalletConnect solicitava que os usuários conectassem uma carteira, uma solicitação que não pareceria suspeita dada a funcionalidade do aplicativo real. Os usuários eram então solicitados a aceitar várias permissões para "verificar sua carteira", o que concedia ao endereço do invasor permissão para transferir a quantia máxima do ativo especificado. O aplicativo recuperava o valor de todos os ativos nas carteiras da vítima, tentando sacar os tokens mais caros primeiro, seguidos pelos mais baratos.
A Check Point Research enfatizou a crescente sofisticação das táticas de cibercriminosos, observando que o aplicativo malicioso não dependia de vetores de ataque tradicionais, como permissões ou keylogging. Em vez disso, ele usava contratos inteligentes e links profundos para drenar ativos silenciosamente quando os usuários eram enganados a usar o aplicativo. Os pesquisadores pediram aos usuários que fossem cautelosos sobre os aplicativos que baixam, mesmo que pareçam legítimos, e pediram que as lojas de aplicativos melhorassem seus processos de verificação para evitar aplicativos maliciosos. Eles também enfatizaram a importância de educar a comunidade de criptomoedas sobre os riscos associados às tecnologias Web3, pois até mesmo interações aparentemente inócuas podem levar a perdas financeiras significativas.
O Google não respondeu imediatamente a um pedido de comentário.

Últimas Notícias