IT 安全公司 Check Point Research 发现了一个加密钱包窃取程序，它使用 Google Play 商店的“高级逃避技术”在五个月内窃取了超过 70,000 美元。

该恶意应用程序伪装成 WalletConnect 协议，这是加密领域中知名的应用程序，可以将各种加密钱包链接到去中心化金融 (DeFi) 应用程序。

该公司在 9 月 26 日的一篇博客文章中表示，这标志着“消耗器首次专门针对移动用户”。

Check Point Research 表示：“虚假评论和一致的品牌推广帮助该应用在搜索结果中排名靠前，下载量超过 10,000 次。”

超过 150 名用户被盗取了约 7 万美元——并非所有应用程序用户都成为目标，因为有些用户没有连接钱包或认为这是骗局。Check Point Research 表示，其他人“可能不符合恶意软件的特定目标标准”。

一些关于伪造的 WalletConnect 应用程序的虚假评论提到了与加密货币无关的功能。资料来源：Check Point Research

该公司还补充道，这款假冒应用于 3 月 21 日在谷歌应用商店上架，并使用“先进的规避技术”在五个多月内未被发现。目前，该应用已被删除。

该应用程序最初以“Mestox Calculator”的名称发布，并经过多次更改，但其应用程序 URL 仍然指向一个看似无害的带有计算器的网站。

研究人员表示：“这种技术可以让攻击者通过 Google Play 中的应用审核流程，因为自动和手动检查都会加载‘无害’的计算器应用程序。”

但是，根据用户的 IP 地址位置以及他们是否使用移动设备，他们会被重定向到包含钱包耗尽软件 MS Drainer 的恶意应用程序后端。

伪造的 WalletConnect 应用程序如何盗取某些用户资金的示意图。资料来源：Check Point Research

与其他钱包窃取计划非常相似，伪造的 WalletConnect 应用程序会提示用户连接钱包——由于真实应用程序的工作方式，这并不会引起怀疑。

Check Point Research 表示，然后要求用户接受各种权限以“验证他们的钱包”，这授予攻击者的地址“转移最大金额的指定资产”的权限。

“该应用程序会检索受害者钱包中所有资产的价值。它首先尝试提取较昂贵的代币，然后再提取较便宜的代币，”它补充道。

Check Point Research 写道：“这起事件凸显了网络犯罪手段日益复杂化。这款恶意应用程序并不依赖权限或键盘记录等传统攻击媒介。相反，它使用智能合约和深度链接，在用户被诱骗使用该应用程序后悄悄盗取资产。”

它补充说，用户必须“警惕所下载的应用程序，即使它们看起来是合法的”，并且应用商店必须改进其验证流程以阻止恶意应用程序。

研究人员表示：“加密社区需要继续教育用户有关 Web3 技术的风险。这个案例表明，即使是看似无害的互动也可能导致重大财务损失。”

谷歌没有立即回应置评请求。

Crypto-Sec：两名审计员未发现价值 2700 万美元的 Penpie 漏洞和 Pythia 的“索取奖励”漏洞