Новости Калькулятор - троян: как мошенники обманули Google Play и украли $70 000

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Невидимый вор гулял по магазину приложений 5 месяцев.


63eeynnpiu5b7l0xu1i2ubxs1ksum0ml.jpg


Команда Check Point Research (CPR) Для просмотра ссылки Войди или Зарегистрируйся на Google Play вредоносное приложение- криптодрейнер , предназначенное для кражи криптовалюты. Это первый случай, когда дрейнер ориентирован исключительно на мобильные устройства. Приложение использовало методы обхода обнаружения и находилось в магазине почти 5 месяцев, пока его не удалили.

Приложение под названием «WalletConnect – Crypto Wallet» маскировалось под инструмент для работы с Web3 и использовало имя популярного протокола WalletConnect, соединяющего криптокошельки с децентрализованными приложениями. Фальшивые отзывы и узнаваемый бренд помогли достичь более 10 000 скачиваний. При этом приложение появлялось в топе поисковой выдачи на Google Play.

Применение социальной инженерии и современных инструментов криптодрейнера позволило злоумышленникам похитить криптовалюту на $70 000 у около 150 жертв.


tdfggbtev4urpo7fur1ubexe6awf0ph8.png


Вредоносное приложение в Google Play

Криптодрейнер – это вредоносный инструмент для кражи цифровых активов, включая NFT и токены из криптокошельков. Для похищения средств криптодрейнер использует фишинг и смарт-контракты. Часто пользователи перенаправляются на поддельные сайты, имитирующие легитимные платформы, где жертв просят подписать фальшивые транзакции. Как только пользователь подтверждает такую транзакцию, активы автоматически выводятся на счета злоумышленников.

WalletConnect — это протокол с открытым исходным кодом, обеспечивающий безопасную связь между децентрализованными приложениями (dApps) и криптокошельками. Однако некоторые сложности с подключением к WalletConnect сбивают с толку пользователей, что и использовали мошенники. Трудности связаны с тем, что не все кошельки поддерживают WalletConnect, а его несовместимость с устаревшими версиями некоторых кошельков только усугубляет проблему.

Приложение было создано с использованием сервиса median.co , который позволяет преобразовать сайт в мобильное приложение. Оно фактически выполняло функции браузера, открывающего определенный сайт. При загрузке в браузере пользователи видели простой калькулятор «Mestox Calculator», что помогало обходить проверки безопасности Google Play.

При этом в приложении скрытно работал вредоносный функционал, который заключался в перенаправлении пользователя на ресурс connectprotocol[.]app/gate/index.php, под видом проверки кошелька предлагалось подписывать транзакции, после чего активы пользователей автоматически переводились на счета злоумышленников.


cgel68no6chnnz8wayqujcb29u95virl.png


Приложение-приманка Mestox Calculator

Инструмент MS Drainer, использованный в приложении, поддерживает множество блокчейнов, включая Ethereum, BNB Smart Chain, Polygon, и быстро находит активы жертв.

Для защиты от подобных угроз пользователи должны тщательно проверять приложения перед их загрузкой, а магазины приложений обязаны усилить свои процедуры проверки. Образовательные инициативы внутри криптосообщества также играют ключевую роль в информировании о рисках, связанных с Web3-технологиями.
 
Источник новости
www.securitylab.ru

Похожие темы