Firma Check Point Research, firma zajmująca się bezpieczeństwem IT, odkryła złośliwą aplikację WalletConnect w sklepie Google Play udającą jako prawdziwy protokół. Użytkownicy stracili kryptowaluty na łączną kwotę 70 000 dolarów
Badanie Check Point wykazało, że oszuści naśladowali markę i funkcjonalność prawdziwego protokołu WalletConnect o otwartym kodzie źródłowym. Gdy użytkownicy podłączyli swoje portfele kryptowalutowe do fałszywej aplikacji, szkodliwe oprogramowanie prosiło ich o szerokie uprawnienia, co nie wzbudziło podejrzeń ze względu na interfejs usługi podobny do oryginalnego protokołu. Po uzyskaniu niezbędnej zgody użytkowników napastnicy z łatwością przesyłali kryptowaluty z portfeli ofiar na ich adresy.
Aby zwiększyć reputację i ranking swojej aplikacji w wyszukiwaniu, napastnicy wykorzystali fałszywe recenzje. Aplikacja pierwotnie nazywała się Mestox Calculator, ale już kilkakrotnie zmieniała nazwę. Aby pozostać niewykrytymi przez wiele miesięcy w sklepie Google Play, oszuści stosowali zaawansowane techniki unikania.
Aplikacja kierowała użytkowników na podstawie adresu IP i typu urządzenia, tak aby dostęp do złośliwego backendu mógł zostać przeprowadzony tylko w określonych scenariuszach. Do tajnych ataków i przeprowadzania działań wykorzystywano inteligentne kontrakty i głębokie linki. Analitycy odkryli, że umożliwiło to ominięcie zarówno automatycznych, jak i ręcznych kontroli bezpieczeństwa Google Play.
Ponad 10 000 użytkowników pobrało fałszywą aplikację, a co najmniej 150 ofiar straciło aktywa kryptograficzne o łącznej wartości 70 000 dolarów. Badacze z Check Point Research wezwali użytkowników do zachowania czujności, aby nie stać się ofiarami oszustów kryptograficznych.
Fałszywe aplikacje w sklepie Google Play nie są rzadkością. Kilka lat temu pojawiła się w nim fałszywa aplikacja Trezor Mobile Manager Wallet, w której oszuści żądali hasła z portfela kryptowalutowego. Po pobraniu takiej aplikacji użytkownik portfela sprzętowego Trezor stracił 17,1 BTC.
Источник: bits.media