По данным Cointelegraph, компания по ИТ-безопасности Check Point Research обнаружила приложение для слива криптовалютных кошельков, которое использовало передовые методы уклонения в магазине Google Play, что привело к краже более $70 000 за пять месяцев. Вредоносное приложение маскировалось под протокол WalletConnect, известное приложение в криптопространстве, которое соединяет различные криптовалютные кошельки с приложениями децентрализованных финансов (DeFi).

В сообщении в блоге от 26 сентября Check Point Research отметила, что этот инцидент знаменует собой первый случай, когда дренеры были нацелены исключительно на мобильных пользователей. Приложение достигло более 10 000 загрузок, ранжируясь высоко в результатах поиска, чему способствовали поддельные отзывы и последовательный брендинг. Однако не все пользователи были атакованы; некоторые не подключили кошелек или не распознали мошенничество, в то время как другие могли не соответствовать конкретным критериям таргетинга вредоносного ПО.

Поддельное приложение было доступно в магазине приложений Google с 21 марта и оставалось незамеченным более пяти месяцев из-за своих передовых методов уклонения. Первоначально опубликованное под названием «Mestox Calculator», название приложения менялось несколько раз, но URL-адрес его приложения продолжал указывать на, казалось бы, безобидный веб-сайт с калькулятором. Эта тактика позволила приложению пройти процесс проверки Google Play, поскольку автоматические и ручные проверки загружали безобидное приложение калькулятора. В зависимости от местоположения IP-адреса пользователя и типа устройства они перенаправлялись на бэкэнд вредоносного приложения, в котором размещалось программное обеспечение для опустошения кошелька MS Drainer.

Поддельное приложение WalletConnect предлагало пользователям подключить кошелек, что не показалось бы подозрительным, учитывая функциональность настоящего приложения. Затем пользователям предлагалось принять различные разрешения для «проверки своего кошелька», что давало злоумышленнику разрешение на перевод максимальной суммы указанного актива. Приложение извлекало стоимость всех активов в кошельках жертвы, пытаясь сначала вывести более дорогие токены, а затем более дешевые.

Check Point Research подчеркнула растущую изощренность тактики киберпреступников, отметив, что вредоносное приложение не полагалось на традиционные векторы атак, такие как разрешения или кейлоггинг. Вместо этого оно использовало смарт-контракты и глубокие ссылки для тихого слива активов после того, как пользователи были обмануты и начали использовать приложение. Исследователи призвали пользователей быть осторожными с загружаемыми ими приложениями, даже если они кажутся законными, и призвали магазины приложений улучшить свои процессы проверки для предотвращения вредоносных приложений. Они также подчеркнули важность просвещения криптосообщества о рисках, связанных с технологиями Web3, поскольку даже, казалось бы, безобидные взаимодействия могут привести к значительным финансовым потерям.

Компания Google не отреагировала на просьбу прокомментировать ситуацию.