IT 安全公司 Check Point Research 發現了一個加密錢包竊取程序,它使用 Google Play 商店的“高級逃避技術”在五個月內竊取了超過 70,000 美元。
該惡意應用程序僞裝成 WalletConnect 協議,這是加密領域中知名的應用程序,可以將各種加密錢包鏈接到去中心化金融 (DeFi) 應用程序。
該公司在 9 月 26 日的一篇博客文章中表示,這標誌着“消耗器首次專門針對移動用戶”。
Check Point Research 表示:“虛假評論和一致的品牌推廣幫助該應用在搜索結果中排名靠前,下載量超過 10,000 次。”
超過 150 名用戶被盜取了約 7 萬美元——並非所有應用程序用戶都成爲目標,因爲有些用戶沒有連接錢包或認爲這是騙局。Check Point Research 表示,其他人“可能不符合惡意軟件的特定目標標準”。
一些關於僞造的 WalletConnect 應用程序的虛假評論提到了與加密貨幣無關的功能。資料來源:Check Point Research
該公司還補充道,這款假冒應用於 3 月 21 日在谷歌應用商店上架,並使用“先進的規避技術”在五個多月內未被發現。目前,該應用已被刪除。
該應用程序最初以“Mestox Calculator”的名稱發佈,並經過多次更改,但其應用程序 URL 仍然指向一個看似無害的帶有計算器的網站。
研究人員表示:“這種技術可以讓攻擊者通過 Google Play 中的應用審覈流程,因爲自動和手動檢查都會加載‘無害’的計算器應用程序。”
但是,根據用戶的 IP 地址位置以及他們是否使用移動設備,他們會被重定向到包含錢包耗盡軟件 MS Drainer 的惡意應用程序後端。
僞造的 WalletConnect 應用程序如何盜取某些用戶資金的示意圖。資料來源:Check Point Research
與其他錢包竊取計劃非常相似,僞造的 WalletConnect 應用程序會提示用戶連接錢包——由於真實應用程序的工作方式,這並不會引起懷疑。
Check Point Research 表示,然後要求用戶接受各種權限以“驗證他們的錢包”,這授予攻擊者的地址“轉移最大金額的指定資產”的權限。
“該應用程序會檢索受害者錢包中所有資產的價值。它首先嚐試提取較昂貴的代幣,然後再提取較便宜的代幣,”它補充道。
Check Point Research 寫道:“這起事件凸顯了網絡犯罪手段日益複雜化。這款惡意應用程序並不依賴權限或鍵盤記錄等傳統攻擊媒介。相反,它使用智能合約和深度鏈接,在用戶被誘騙使用該應用程序後悄悄盜取資產。”
它補充說,用戶必須“警惕所下載的應用程序,即使它們看起來是合法的”,並且應用商店必須改進其驗證流程以阻止惡意應用程序。
研究人員表示:“加密社區需要繼續教育用戶有關 Web3 技術的風險。這個案例表明,即使是看似無害的互動也可能導致重大財務損失。”
谷歌沒有立即迴應置評請求。
Crypto-Sec:兩名審計員未發現價值 2700 萬美元的 Penpie 漏洞和 Pythia 的“索取獎勵”漏洞
