Търсене
Close this search box.

Изследователи в областта на киберсигурността са открили зловредно приложение за Android в Google Play Store, което е позволило на стоящите зад него  заплахи да откраднат около 70 000 долара в криптовалута от жертвите за период от близо пет месеца.

Уклончивото приложение, идентифицирано от Check Point, се е маскирало като легитимния протокол с отворен код WalletConnect, за да подмами нищо неподозиращите потребители да го изтеглят.

„Фалшивите отзиви и последователното брандиране помогнаха на приложението да постигне над 10 000 изтегляния, като се класира високо в резултатите от търсенето“, се казва в анализа на компанията за киберсигурност, като се добавя, че това е първият път, когато източващият криптовалута се е насочил изключително към потребителите на мобилни устройства.

Смята се, че над 150 потребители са станали жертва на измамата, въпреки че се смята, че не всички потребители, които са изтеглили приложението, са били засегнати от източвача на криптовалута.

Crypto Scam App

Кампанията е включвала разпространение на измамно приложение, което е носело няколко имена, като „Mestox Calculator“, „WalletConnect – DeFi & NFTs“ и „WalletConnect – Airdrop Wallet“ (co.median.android.rxqnqb).

Въпреки че приложението вече не е достъпно за изтегляне от официалния пазар за приложения, данните от SensorTower показват, че то е било популярно в Нигерия, Португалия и Украйна и е свързано с разработчик на име UNS LIS.

Разработчикът е свързан и с друго приложение за Android, наречено „Uniswap DeFI“ (com.lis.uniswapconverter), което е останало активно в Play Store за около месец между май и юни 2023 г. Понастоящем не е известно дали приложението е имало някаква злонамерена функционалност.

Crypto Scam App

И двете приложения обаче могат да бъдат изтеглени от източници на магазини за приложения на трети страни, което още веднъж подчертава рисковете, свързани с изтеглянето на APK файлове от други пазари.

След като бъде инсталирано, фалшивото приложение WallConnect е проектирано да пренасочва потребителите към фалшив уебсайт въз основа на техния IP адрес и User-Agent низ, и ако това е така, да ги пренасочва втори път към друг сайт, който имитира Web3Inbox.

Потребителите, които не отговарят на изискваните критерии, включително тези, които посещават URL адреса от десктоп уеб браузър, се пренасочват към легитимен уебсайт, за да избегнат откриването, което на практика позволява на измамниците да заобиколят процеса на преглед на приложенията в Play Store.

Освен че предприема стъпки за предотвратяване на анализа и отстраняването на грешки, основният компонент на зловредния софтуер е програма за източване на криптовалути, известна като MS Drainer, която подканва потребителите да свържат портфейла си и да подпишат няколко трансакции, за да го потвърдят.

Crypto Scam App

Информацията, въведена от жертвата на всяка стъпка, се предава на сървър за управление и контрол (cakeserver[.]online), който на свой ред изпраща обратно отговор, съдържащ инструкции за задействане на злонамерени трансакции на устройството и прехвърляне на средства към адрес на портфейл, принадлежащ на нападателите.

„Подобно на кражбата на родна криптовалута, злонамереното приложение първо подмамва потребителя да подпише транзакция в портфейла си“, казват изследователите от Check Point.

„Чрез тази транзакция жертвата дава разрешение на адреса на нападателя 0xf721d710e7C27323CC0AeE847bA01147b0fb8dBF (полето „Адрес“ в конфигурацията) да прехвърли максималната сума на посочения актив (ако това е разрешено от неговия интелигентен договор).“

На следващата стъпка токените от портфейла на жертвата се прехвърлят в друг портфейл (0xfac247a19Cc49dbA87130336d3fd8dc8b6b944e1), контролиран от нападателите.

Това също така означава, че ако жертвата не оттегли разрешението за изтегляне на токени от портфейла си, нападателите могат да продължат да изтеглят цифровите активи веднага щом се появят, без да изискват допълнителни действия.

Check Point заяви, че е идентифицирала и друго злонамерено приложение, проявяващо подобни характеристики „Walletconnect | Web3Inbox“ (co.median.android.kaebpq), което преди това е било налично в Google Play Store през февруари 2024 г. То е привлякло повече от 5 000 изтегляния.

„Този инцидент подчертава нарастващата сложност на тактиките на киберпрестъпниците, особено в сферата на децентрализираните финанси, където потребителите често разчитат на инструменти и протоколи на трети страни, за да управляват своите цифрови активи“, отбеляза компанията.

„Зловредното приложение не разчиташе на традиционните вектори на атака като разрешения или следене на клавиши. Вместо това то използваше интелигентни договори и дълбоки връзки, за да източи безшумно активите, след като потребителите бяха подмамени да използват приложението.“

Източник: The Hacker News

Подобни публикации

11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
10 октомври 2024

Какво е Command Prompt, какво е Terminal и кое ...

Чували ли сте някога за Command Prompt на Windows? Или Terminal на ...
10 октомври 2024

Нов проект на Google има за цел да се превърне ...

Днес Google обяви старта на Глобалния обмен на сигнали (GSE) –...
10 октомври 2024

Marriott се съгласи да плати 52 млн. долара и д...

Marriott International се съгласи да плати 52 млн. долара и да напр...
Бъдете социални
Още по темата
07/10/2024

Самопризнание за кражба на ...

21-годишен мъж от Индиана на име...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
03/10/2024

Криптопортфейли, насочени ч...

Потребителите на популярни портфейли за криптовалута...
Последно добавени
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
11/10/2024

Киберсигурността - стълбът ...

Октомври е не само първият месец...
11/10/2024

31 милиона потребители са з...

Интернет архивът потвърди, че е бил...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!