Експерти з кібербезпеки компанії Check Point виявили небезпечне фейкове додаток в офіційному магазині Google Play, яке маскувалося під популярний криптопроект WalletConnect. Це шкідливе програмне забезпечення, спрямоване на викрадення криптовалюти у користувачів, було доступне протягом п’яти місяців і встигло набрати понад 10 000 завантажень.
Аналіз шкідливого додатку
Зловмисники створили додаток під назвою “WallConnect”, імітуючи легітимний Web3-інструмент WalletConnect. Справжній WalletConnect – це відкритий протокол, який служить мостом між криптогаманцями та децентралізованими додатками (dApps). Хакери скористалися складністю цієї технології та можливою плутаниною серед недосвідчених користувачів.
Фейковий додаток (co.median.android.rxqnqb) з’явився в Google Play у березні 2023 року під назвою Mestox Calculator. Згодом назва змінювалася кілька разів, а рейтинг додатку штучно підвищувався за допомогою фальшивих відгуків користувачів.
Технічні особливості шкідливого ПЗ
Додаток було створено за допомогою сервісу median.co, який дозволяє конвертувати веб-сайти в мобільні додатки. По суті, WallConnect функціонував як браузер, що відкривав шкідливий сайт. Після встановлення додаток перенаправляв користувачів на фішинговий сайт, який імітував Web3Inbox. Там жертвам пропонувалося авторизувати кілька транзакцій, що призводило до викрадення конфіденційної інформації про їхні криптогаманці та цифрові активи.
MS Drainer: передове шкідливе ПЗ для крадіжки криптовалюти
Аналіз коду виявив, що шкідливе ПЗ належить до типу MS Drainer – одного з найбільш просунутих інструментів для викрадення криптовалюти на чорному ринку. MS Drainer підтримує широкий спектр блокчейнів EVM, включаючи Ethereum, BNB Smart Chain, Polygon, Avalanche, Arbitrum, Fantom та Optimism.
Ключові особливості MS Drainer:
- Використання надійних постачальників даних (DeBank, Ankr, Zapper, OpenSea) для сканування гаманців
- Автоматичне вилучення цінних активів
- Пріоритезація виведення дорожчих токенів перед менш цінними
Масштаби атаки та наслідки
За п’ять місяців присутності в Google Play, додаток було завантажено 10 000 разів. Експерти Check Point виявили, що щонайменше 150 користувачів стали жертвами WallConnect, втративши цифрові активи на загальну суму понад 70 000 доларів у криптовалюті. Примітно, що лише 20 осіб залишили негативні відгуки про додаток у магазині Google Play.
Враховуючи значну різницю між кількістю жертв і кількістю завантажень, дослідники припускають, що зловмисники могли штучно завищити статистику завантажень для підвищення довіри до додатку.
Наразі фальшивий WallConnect видалено з Google Play Store. Цей інцидент підкреслює важливість пильності при роботі з криптовалютними додатками та необхідність регулярних перевірок безпеки офіційних магазинів додатків. Користувачам рекомендується завжди перевіряти джерело та репутацію додатків, особливо тих, що пов’язані з фінансовими операціями, та використовувати додаткові засоби захисту, такі як апаратні гаманці, для зберігання значних сум криптовалюти.