Специалисты Check Point https://research.checkpoint.com/2024...ainer-tactics/в официальном магазине Google Play фейковое приложение криптопроекта WalletConnect, предназначенное для кражи криптовалюты у пользователей. Приложение было доступно около пяти месяцев и за это время успело набрать более 10 000 загрузок.
https://xakep.ru/wp-content/uploads/...alletConne.jpg
Вредоносное приложение использовало название WallConnect и выдавало себя за Web3-инструмент, который якобы может использоваться в качестве прокси между криптовалютными кошельками и децентрализованными приложениями (dApps). Настоящий проект WalletConnect — это опенсорсный протокол криптомоста, который предназначен именно для этого, хотя и с некоторыми ограничениями, поскольку его поддерживают не все кошельки.
«Учитывая все сложности с WalletConnect, неопытный пользователь может прийти к выводу, что это отдельное приложение-кошелек, которое нужно загрузить и установить. Злоумышленники пользуются этой путаницей, надеясь, что пользователи будут искать приложение WalletConnect в магазине приложений», — объясняют исследователи.
Поддельное приложение (co.median.android.rxqnqb) появилось в Google Play еще в марте текущего года под именем Mestox Calculator (имитация опенсорсного проекта названием CalcDiverse). После этого название менялось неоднократно, и приложение быстро повысило свой рейтинг за счет фальшивых пользовательских отзывов, что позволило привлечь к нему больше внимания и потенциальных жертв.
Вредоносное приложение было создано с помощью сервиса median.co, который позволяет преобразовывать сайт в приложение для Android или iOS. В итоге WallConnect, по сути, функционировал как браузер, который открывал указанный сайт.
Так, после установки WallConnect направлял пользователей на вредоносный сайт, имитирующий Web3Inbox, где им предлагалось авторизовать несколько транзакций, что приводило к краже конфиденциальной информации об их криптовалютных кошельках и цифровых активах.
При этом, если пользователи находились в определенных странах (определяется по IP-адресу) и если User-Agent HTTP-запроса не совпадал с User-Agent мобильного устройства, жертв перенаправляли на легитимный ресурс.
https://xakep.ru/wp-content/uploads/...-the-malic.jpg
Схема атаки
Изучив код самой малвари, исследователи идентифицировали ее как MS Drainer. Она представляет собой один из наиболее продвинутых вредоносных инструментариев для хищения криптовалют, среди всех доступных в настоящее время на черном рынке. Вредонос поддерживает широкий спектр блокчейнов EVM, включая Ethereum, BNB Smart Chain, Polygon, Avalanche, Arbitrum, Fantom и Optimism.
Отличительной чертой MS Drainer являются его возможности по обнаружению активов. Малварь использует для сканирования кошельков пользователей на предмет ценных активов надежных поставщиков, таких как DeBank, Ankr, Zapper и OpenSea. Затем MS Drainer автоматически изымает эти активы. Причем исследователи Check Point отмечают, что в первую очередь малварь выводит более дорогие токены и только после этого ворует менее ценные.
За пять месяцев, пока приложение было доступно в официальном магазине для Android, количество его загрузок достигло 10 000. Аналитики пишут, что не менее 150 жертв пострадали от WallConnect и потеряли цифровые активы на общую сумму свыше 70 000 долларов в криптовалюте. При этом только 20 человек оставили негативные отзывы о приложении в магазине Google Play.
Учитывая разницу между количеством жертв и количеством загрузок WallConnect, исследователи полагают, что операторы вредоноса могли искусственно завысить количество загрузок приложения.
В настоящее время фальшивый WallConnect уже удален из Google Play Store.
https://xakep.ru/2024/09/26/fake-walletconnect/