Екипът на Check Point Research (CPR) откри зловредно приложение от

Екипът на Check Point Research (CPR) откри зловредно приложение от вида Cryptodrainer в Гугъл Play, предопределено за кражба на криптовалута. Това е първият случай, в който криптографски дрейнърът е ориентиран само към мобилни устройства. Приложението е употребило способи за заобикаляне на откриването и е било в магазина съвсем 5 месеца, преди да бъде отстранено.

Приложението с име WalletConnect се е маскирало като Web3 инструмент и е употребило името на известния протокол WalletConnect, който свързва криптопортфейли с децентрализирани приложения. Фалшивите мнения и разпознаваемия бранд му помогнаха да доближи над 10 000 изтегляния. В същото време приложението се появи преди всичко в резултатите от търсенето в Гугъл Play.

Използването на обществен инженеринг и актуалните принадлежности в дрейнъра е разрешило на нападателите да откраднат криптовалута на стойност 70 000 $ от към 150 жертви.

Зловредното приложение в Гугъл Play

Криптодрейнърът (Cryptodrainer) е злоумишлен инструмент за кражба на цифрови активи, в това число NFT и токени от крипто портфейли. За да открадне средствата, инструментът употребява фишинг и смарт контракти. Потребителите постоянно биват пренасочвани към подправени уеб уеб сайтове, които имитират законни платформи, където от жертвите се изисква да подпишат подправени преводи. След като потребителят удостовери такава трансакция, активите автоматизирано се изтеглят към сметките на нападателите.

WalletConnect е протокол с отворен код, който обезпечава сигурна връзка сред децентрализираните приложения (dApps) и криптопортфейлите. Някои от компликациите при свързване с WalletConnect обаче объркват потребителите, от което се възползваха измамниците. Трудностите се дължат на обстоятелството, че не всички портфейли поддържат WalletConnect, а несъвместимостта му с остарелите версии на някои портфейли единствено задълбочава казуса.

Приложението е основано благодарение на median.co – услуга, която дава опция за превръщане на уеб уебсайт в мобилно приложение. То в действителност е работило като браузър, който е отварял избран уеб уебсайт. Когато се зареди в браузъра, потребителите виждат елементарния калкулатор „ Mestox Calculator “, което оказа помощ да се заобиколят инспекциите за сигурност в Гугъл Play.

В същото време приложението прикрито извършва злонамерена функционалност, която се състои в пренасочване на потребителя към ресурса connectprotocol[.]app/gate/index.php, като под прикритието за инспекция на портфейла предлага сключване на транзакциите, след което активите на потребителя автоматизирано се трансферират в сметките на нападателите.

Използваният в приложението инструмент MS Drainer поддържа голям брой блокчейн вериги, в това число Ethereum, BNB Smart Chain и Polygon, и бързо намира активите на жертвите.

За да се предпазят от сходни закани, потребителите би трябвало деликатно да ревизират приложенията, преди да ги изтеглят, а от магазините за приложения се изисква да засилят процедурите си за инспекция. Образователните начинания в границите на криптообщността също играят основна роля в информирането за рисковете, свързани с Web3 технологиите.