За даними Cointelegraph, фірма з ІТ-безпеки Check Point Research виявила програму для викачування крипто-гаманця, яка використовувала передові методи ухилення в магазині Google Play, що призвело до крадіжки понад 70 000 доларів США за п’ять місяців. Шкідливий додаток, виданий за протокол WalletConnect, добре відомий додаток у криптопросторі, який з’єднує різні криптогаманці з програмами децентралізованого фінансування (DeFi).
У дописі в блозі від 26 вересня Check Point Research зазначила, що цей інцидент став першим випадком, коли дренажі націлені виключно на мобільних користувачів. Програма досягла понад 10 000 завантажень завдяки високим рейтингам у результатах пошуку, чому сприяли фальшиві відгуки та постійний брендинг. Однак не всі користувачі були ціллю; деякі не підключили гаманець або не розпізнали шахрайство, тоді як інші могли не відповідати конкретним критеріям націлювання зловмисного програмного забезпечення.
Фальшивий додаток був доступний у магазині додатків Google з 21 березня та залишався непоміченим понад п’ять місяців через передові методи ухилення. Спочатку опублікована під назвою «Mestox Calculator», назва програми кілька разів змінювалася, але її URL-адреса продовжувала вказувати на, здавалося б, нешкідливий веб-сайт із калькулятором. Ця тактика дозволила додатку пройти перевірку Google Play, оскільки автоматичні та ручні перевірки завантажували б нешкідливий додаток-калькулятор. Залежно від розташування IP-адреси користувача та типу пристрою, вони перенаправлялися до серверної частини шкідливого додатка, де розміщено програмне забезпечення MS Drainer для зливу гаманців.
Підроблений додаток WalletConnect запропонував користувачам підключити гаманець, запит, який не здавався б підозрілим, враховуючи функціональність справжнього додатка. Потім користувачам було запропоновано прийняти різні дозволи, щоб «підтвердити свій гаманець», що дало дозвіл адреси зловмисника на передачу максимальної суми зазначеного активу. Додаток отримав вартість усіх активів у гаманцях жертви, намагаючись спочатку вилучити дорожчі токени, а потім – дешевші.
Дослідження Check Point підкреслили зростаючу складність тактики кіберзлочинців, зазначивши, що шкідливий додаток не покладається на традиційні вектори атак, такі як дозволи або клавіатурний журнал. Натомість він використовував смарт-контракти та глибокі посилання для тихого вичерпання активів, коли користувачів обманом змусили використовувати додаток. Дослідники закликали користувачів бути обережними щодо програм, які вони завантажують, навіть якщо вони здаються законними, і закликали магазини додатків покращити процеси перевірки, щоб запобігти шкідливим програмам. Вони також наголосили на важливості інформування криптоспільноти про ризики, пов’язані з технологіями Web3, оскільки навіть, здавалося б, нешкідлива взаємодія може призвести до значних фінансових втрат.
Google не відразу відповів на запит про коментар.
