Исследовательская компания Check Point Research выявила вредоносное приложение для кражи криптовалют, которое использовало «передовые методы уклонения» на Google Play и украло более $70,000 за пять месяцев.
Как работало приложение
Вредоносное приложение маскировалось под протокол WalletConnect, известное приложение в сфере криптовалют, которое позволяет связывать различные криптокошельки с приложениями децентрализованных финансов (DeFi). Компания сообщила в блоге от 26 сентября, что это первый случай, когда дренажные приложения исключительно нацелены на мобильных пользователей. Фальшивые отзывы и постоянный брендинг помогли приложению достичь более 10,000 загрузок, занимая высокие позиции в результатах поиска. Приложение было опубликовано 21 марта под именем «Mestox Calculator» и несколько раз меняло название, в то время как URL-адрес приложения указывал на безобидный сайт с калькулятором. Эта техника позволяла злоумышленникам пройти процесс проверки приложения в Google Play, так как автоматические и ручные проверки загружали «безобидное» приложение-калькулятор. Однако, в зависимости от местоположения IP-адреса пользователя и использования мобильного устройства, они перенаправлялись на сервер с вредоносным приложением, содержащим программное обеспечение для дренажа кошельков MS Drainer.
Последствия для пользователей
Пользователи пострадали от кражи около $70,000. Не все пользователи приложения стали жертвами, так как некоторые не подключали кошелек или заметили мошенничество. Другие не соответствовали специфическим критериям целевой аудитории вредоносного ПО. Фальшивое приложение запрашивало у пользователей разрешения для «подтверждения кошелька», что давало злоумышленникам разрешение на перевод максимального количества указанного актива на их адрес. Затем приложение извлекало стоимость всех активов в кошельках жертв и сначала пыталось вывести более дорогие токены, а затем дешевые.
Рекомендации для защитных мер
Check Point Research подчеркивает необходимость быть осторожными при загрузке приложений, даже если они кажутся легитимными, и рекомендует улучшить процесс проверки приложений в магазинах приложений, чтобы предотвратить загрузку вредоносных приложений. Исследователи также отметили, что сообщество криптовалют должно продолжать просвещать пользователей о рисках, связанных с технологиями Web3. Этот случай показывает, что даже кажущиеся безобидными взаимодействия могут привести к значительным финансовым потерям.
Вредоносное приложение было удалено с Google Play, однако инцидент демонстрирует необходимость усиления контроля за приложениями и повышения осведомленности пользователей о киберугрозах в сфере криптовалют.
Комментарии