A empresa de segurança de TI Check Point Research descobriu um drainer de carteiras de criptomoedas na Google Play Store que usou “técnicas avançadas de evasão” para roubar mais de US$ 70.000 em cinco meses.
O aplicativo malicioso disfarçou-se como o protocolo WalletConnect, um aplicativo bem conhecido no espaço cripto que pode conectar uma variedade de carteiras cripto a aplicações de finanças descentralizadas (DeFi).
A empresa de segurança afirmou em um postagem de blog em 26 de setembro que marcou “a primeira vez que drainers visaram exclusivamente usuários móveis”.
Adicionou: “Avaliações falsas e branding consistente ajudaram o aplicativo a alcançar mais de 10.000 downloads ao se classificar bem nos resultados de busca.”
Mais de 150 usuários foram enganados fora de cerca de US$ 70.000. Nem todos os usuários do aplicativo foram afetados, já que alguns ou não conectaram uma carteira ou reconheceram que era uma fraude. Outros “podem não ter atendido aos critérios específicos de direcionamento do malware”, disse a Check Point Research.
Algumas das avaliações falsas no aplicativo disfarçado de WalletConnect mencionavam recursos que não tinham nada a ver com cripto. Fonte: Check Point Research
A empresa acrescentou que o aplicativo falso foi disponibilizado na loja de aplicativos do Google em 21 de março e usou “técnicas avançadas de evasão” para permanecer indetectado por mais de cinco meses. Ele foi removido agora.
O aplicativo foi inicialmente publicado sob o nome “Mestox Calculator” e foi alterado várias vezes, embora sua URL de aplicação ainda apontasse para um site aparentemente inofensivo com uma calculadora.
“Essa técnica permite que os atacantes passem pelo processo de revisão do aplicativo no Google Play, já que verificações automatizadas e manuais carregarão o aplicativo de ‘calculadora’ aparentemente inofensivo,” disseram os pesquisadores.
Dependendo da localização do endereço IP do usuário e se eles estavam usando um dispositivo móvel, alguns foram redirecionados para o back-end malicioso do aplicativo que abrigava o software drainer de carteiras MS Drainer.
Diagrama de como o aplicativo falso WalletConnect funcionava para drenar certos fundos dos usuários. Fonte: Check Point Research
Assim como outras fraudes projetadas para drenar carteiras, o aplicativo falso solicitava que os usuários conectassem suas carteiras — um pedido que não pareceria suspeito dado como o aplicativo legítimo opera.
Os usuários eram então solicitados a aceitar várias permissões para “verificar sua carteira”, o que concede permissão para o endereço do atacante “transferir a quantidade máxima do ativo especificado”, disse a Check Point Research.
A “aplicação recupera o valor de todos os ativos nas carteiras das vítimas. Primeiro tenta retirar os tokens mais caros, seguidos pelos mais baratos,” acrescentou.
“Este incidente destaca a crescente sofisticação das táticas de cibercriminosos,” escreveu a Check Point Research. “O aplicativo malicioso não dependia de vetores de ataque tradicionais como permissões ou keylogging. Em vez disso, usou contratos inteligentes e deep links para drenar silenciosamente os ativos uma vez que os usuários foram enganados a usar o aplicativo.”
Adicionou que os usuários devem estar “atentos às aplicações que baixam, mesmo quando parecem legítimas,” e que as lojas de aplicativos devem melhorar seu processo de verificação para impedir aplicativos maliciosos.
“A comunidade cripto precisa continuar a educar os usuários sobre os riscos associados às tecnologias Web3,” disseram os pesquisadores. “Este caso ilustra que mesmo interações aparentemente inofensivas podem levar a perdas financeiras significativas.”
O Google não respondeu imediatamente a um pedido de comentário.