Potrivit Cointelegraph, firma de securitate IT Check Point Research a identificat o aplicație de scurgere a portofelului cripto care folosea tehnici avansate de evaziune în magazinul Google Play, ducând la furtul a peste 70.000 USD în cinci luni. Aplicația rău intenționată a fost mascată drept protocolul WalletConnect, o aplicație binecunoscută în spațiul cripto care conectează diverse portofele cripto la aplicații financiare descentralizate (DeFi).

Într-o postare pe blog din 26 septembrie, Check Point Research a remarcat că acest incident marchează prima dată când drenoarele au vizat exclusiv utilizatorii de telefonie mobilă. Aplicația a obținut peste 10.000 de descărcări prin clasarea în fruntea rezultatelor căutării, ajutată de recenzii false și de branding consecvent. Cu toate acestea, nu toți utilizatorii au fost vizați; unii nu au conectat un portofel sau au recunoscut înșelătoria, în timp ce alții nu au îndeplinit criteriile specifice de direcționare ale malware-ului.

Aplicația falsă a fost disponibilă pe magazinul de aplicații Google din 21 martie și a rămas nedetectată timp de peste cinci luni datorită tehnicilor sale avansate de evaziune. Publicat inițial sub numele „Mestox Calculator”, numele aplicației s-a schimbat de mai multe ori, dar adresa URL a aplicației a continuat să indice un site web aparent inofensiv cu un calculator. Această tactică a permis aplicației să treacă de procesul de revizuire Google Play, deoarece verificările automate și manuale ar încărca aplicația de calculator inofensivă. În funcție de locația adresei IP a utilizatorului și de tipul dispozitivului, aceștia au fost redirecționați către back-end-ul aplicației rău intenționate care găzduiește software-ul de drenare a portofelului MS Drainer.

Aplicația falsificată WalletConnect a determinat utilizatorii să conecteze un portofel, o solicitare care nu ar fi părut suspectă, având în vedere funcționalitatea reală a aplicației. Utilizatorilor li s-a cerut apoi să accepte diverse permisiuni pentru a-și „verifica portofelul”, ceea ce a acordat adresei atacatorului permisiunea de a transfera suma maximă a activului specificat. Aplicația a recuperat valoarea tuturor activelor din portofelele victimei, încercând să retragă mai întâi jetoanele mai scumpe, urmate de cele mai ieftine.

Check Point Research a subliniat sofisticarea tot mai mare a tacticilor criminale cibernetice, observând că aplicația rău intenționată nu se bazează pe vectori de atac tradiționali, cum ar fi permisiunile sau keylogging. În schimb, a folosit contracte inteligente și legături profunde pentru a scurge în tăcere activele odată ce utilizatorii au fost păcăliți să folosească aplicația. Cercetătorii au îndemnat utilizatorii să fie precauți cu privire la aplicațiile pe care le descarcă, chiar dacă par legitime, și au cerut magazinelor de aplicații să-și îmbunătățească procesele de verificare pentru a preveni aplicațiile rău intenționate. Ei au subliniat, de asemenea, importanța educării comunității cripto cu privire la riscurile asociate cu tehnologiile Web3, deoarece chiar și interacțiunile aparent inofensive pot duce la pierderi financiare semnificative.

Google nu a răspuns imediat unei solicitări de comentarii.