Изследователи в областта на киберсигурността са открили зловредно приложение за Android в Google Play Store, което е позволило на стоящите зад него заплахи да откраднат около 70 000 долара в криптовалута от жертвите за период от близо пет месеца.
Уклончивото приложение, идентифицирано от Check Point, се е маскирало като легитимния протокол с отворен код WalletConnect, за да подмами нищо неподозиращите потребители да го изтеглят.
„Фалшивите отзиви и последователното брандиране помогнаха на приложението да постигне над 10 000 изтегляния, като се класира високо в резултатите от търсенето“, се казва в анализа на компанията за киберсигурност, като се добавя, че това е първият път, когато източващият криптовалута се е насочил изключително към потребителите на мобилни устройства.
Смята се, че над 150 потребители са станали жертва на измамата, въпреки че се смята, че не всички потребители, които са изтеглили приложението, са били засегнати от източвача на криптовалута.
Кампанията е включвала разпространение на измамно приложение, което е носело няколко имена, като „Mestox Calculator“, „WalletConnect – DeFi & NFTs“ и „WalletConnect – Airdrop Wallet“ (co.median.android.rxqnqb).
Въпреки че приложението вече не е достъпно за изтегляне от официалния пазар за приложения, данните от SensorTower показват, че то е било популярно в Нигерия, Португалия и Украйна и е свързано с разработчик на име UNS LIS.
Разработчикът е свързан и с друго приложение за Android, наречено „Uniswap DeFI“ (com.lis.uniswapconverter), което е останало активно в Play Store за около месец между май и юни 2023 г. Понастоящем не е известно дали приложението е имало някаква злонамерена функционалност.
И двете приложения обаче могат да бъдат изтеглени от източници на магазини за приложения на трети страни, което още веднъж подчертава рисковете, свързани с изтеглянето на APK файлове от други пазари.
След като бъде инсталирано, фалшивото приложение WallConnect е проектирано да пренасочва потребителите към фалшив уебсайт въз основа на техния IP адрес и User-Agent низ, и ако това е така, да ги пренасочва втори път към друг сайт, който имитира Web3Inbox.
Потребителите, които не отговарят на изискваните критерии, включително тези, които посещават URL адреса от десктоп уеб браузър, се пренасочват към легитимен уебсайт, за да избегнат откриването, което на практика позволява на измамниците да заобиколят процеса на преглед на приложенията в Play Store.
Освен че предприема стъпки за предотвратяване на анализа и отстраняването на грешки, основният компонент на зловредния софтуер е програма за източване на криптовалути, известна като MS Drainer, която подканва потребителите да свържат портфейла си и да подпишат няколко трансакции, за да го потвърдят.
Информацията, въведена от жертвата на всяка стъпка, се предава на сървър за управление и контрол (cakeserver[.]online), който на свой ред изпраща обратно отговор, съдържащ инструкции за задействане на злонамерени трансакции на устройството и прехвърляне на средства към адрес на портфейл, принадлежащ на нападателите.
„Подобно на кражбата на родна криптовалута, злонамереното приложение първо подмамва потребителя да подпише транзакция в портфейла си“, казват изследователите от Check Point.
„Чрез тази транзакция жертвата дава разрешение на адреса на нападателя 0xf721d710e7C27323CC0AeE847bA01147b0fb8dBF (полето „Адрес“ в конфигурацията) да прехвърли максималната сума на посочения актив (ако това е разрешено от неговия интелигентен договор).“
На следващата стъпка токените от портфейла на жертвата се прехвърлят в друг портфейл (0xfac247a19Cc49dbA87130336d3fd8dc8b6b944e1), контролиран от нападателите.
Това също така означава, че ако жертвата не оттегли разрешението за изтегляне на токени от портфейла си, нападателите могат да продължат да изтеглят цифровите активи веднага щом се появят, без да изискват допълнителни действия.
Check Point заяви, че е идентифицирала и друго злонамерено приложение, проявяващо подобни характеристики „Walletconnect | Web3Inbox“ (co.median.android.kaebpq), което преди това е било налично в Google Play Store през февруари 2024 г. То е привлякло повече от 5 000 изтегляния.
„Този инцидент подчертава нарастващата сложност на тактиките на киберпрестъпниците, особено в сферата на децентрализираните финанси, където потребителите често разчитат на инструменти и протоколи на трети страни, за да управляват своите цифрови активи“, отбеляза компанията.
„Зловредното приложение не разчиташе на традиционните вектори на атака като разрешения или следене на клавиши. Вместо това то използваше интелигентни договори и дълбоки връзки, за да източи безшумно активите, след като потребителите бяха подмамени да използват приложението.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.