30/09/24
Команда Check Point Research (CPR) обнаружила в Google Play вредоносное приложение, предназначенное для кражи криптовалюты. Это первый случай, когда такое ПО ориентировано исключительно на мобильные устройства, согласно Securitylab. Приложение использовало методы обхода обнаружения и находилось в магазине почти 5 месяцев, пока его не удалили.
Приложение под названием «WalletConnect – Crypto Wallet» маскировалось под инструмент для работы с Web3 и использовало имя популярного протокола WalletConnect, соединяющего криптокошельки с децентрализованными приложениями. Фальшивые отзывы и узнаваемый бренд помогли достичь более 10 000 скачиваний. При этом приложение появлялось в топе поисковой выдачи на Google Play.
Применение социальной инженерии и современных инструментов криптодрейнера позволило злоумышленникам похитить криптовалюту на $70 000 у около 150 жертв.
WalletConnect — это протокол с открытым исходным кодом, обеспечивающий безопасную связь между децентрализованными приложениями (dApps) и криптокошельками. Однако некоторые сложности с подключением к WalletConnect сбивают с толку пользователей, что и использовали мошенники. Трудности связаны с тем, что не все кошельки поддерживают WalletConnect, а его несовместимость с устаревшими версиями некоторых кошельков только усугубляет проблему.
Приложение было создано с использованием сервиса median.co, который позволяет преобразовать сайт в мобильное приложение. Оно фактически выполняло функции браузера, открывающего определенный сайт. При загрузке в браузере пользователи видели простой калькулятор «Mestox Calculator», что помогало обходить проверки безопасности Google Play.
При этом в приложении скрытно работал вредонос, который заключался в перенаправлении пользователя на ресурс connectprotocol[.]app/gate/index.php, под видом проверки кошелька предлагалось подписывать транзакции, после чего активы пользователей автоматически переводились на счета злоумышленников.
Инструмент MS Drainer, использованный в приложении, поддерживает множество блокчейнов, включая Ethereum, BNB Smart Chain, Polygon, и быстро находит активы жертв.
