Специалисты Check Point
в официальном магазине Google Play фейковое приложение криптопроекта WalletConnect, предназначенное для кражи криптовалюты у пользователей.
Приложение было доступно около пяти месяцев и за это время успело набрать более 10 000 загрузок.
Вредоносное приложение использовало название WallConnect и выдавало себя за Web3-инструмент, который якобы может использоваться в качестве прокси между криптовалютными кошельками и децентрализованными приложениями (dApps). Настоящий проект WalletConnect — это опенсорсный протокол криптомоста, который предназначен именно для этого, хотя и с некоторыми ограничениями, поскольку его поддерживают не все кошельки.
Поддельное приложение (co.median.android.rxqnqb) появилось в Google Play еще в марте текущего года под именем Mestox Calculator (имитация опенсорсного проекта названием ). После этого название менялось неоднократно, и приложение быстро повысило свой рейтинг за счет фальшивых пользовательских отзывов, что позволило привлечь к нему больше внимания и потенциальных жертв.
Вредоносное приложение было создано с помощью сервиса median.co, который позволяет преобразовывать сайт в приложение для Android или iOS. В итоге WallConnect, по сути, функционировал как браузер, который открывал указанный сайт.
Так, после установки WallConnect направлял пользователей на вредоносный сайт, имитирующий Web3Inbox, где им предлагалось авторизовать несколько транзакций, что приводило к краже конфиденциальной информации об их криптовалютных кошельках и цифровых активах.
При этом, если пользователи находились в определенных странах (определяется по IP-адресу) и если User-Agent HTTP-запроса не совпадал с User-Agent мобильного устройства, жертв перенаправляли на легитимный ресурс.
Схема атаки
Изучив код самой малвари, исследователи идентифицировали ее как MS Drainer. Она представляет собой один из наиболее продвинутых вредоносных инструментариев для хищения криптовалют, среди всех доступных в настоящее время на черном рынке. Вредонос поддерживает широкий спектр блокчейнов EVM, включая Ethereum, BNB Smart Chain, Polygon, Avalanche, Arbitrum, Fantom и Optimism.
Отличительной чертой MS Drainer являются его возможности по обнаружению активов. Малварь использует для сканирования кошельков пользователей на предмет ценных активов надежных поставщиков, таких как DeBank, Ankr, Zapper и OpenSea. Затем MS Drainer автоматически изымает эти активы. Причем исследователи Check Point отмечают, что в первую очередь малварь выводит более дорогие токены и только после этого ворует менее ценные.
За пять месяцев, пока приложение было доступно в официальном магазине для Android, количество его загрузок достигло 10 000. Аналитики пишут, что не менее 150 жертв пострадали от WallConnect и потеряли цифровые активы на общую сумму свыше 70 000 долларов в криптовалюте. При этом только 20 человек оставили негативные отзывы о приложении в магазине Google Play.
Учитывая разницу между количеством жертв и количеством загрузок WallConnect, исследователи полагают, что операторы вредоноса могли искусственно завысить количество загрузок приложения.
В настоящее время фальшивый WallConnect уже удален из Google Play Store.
Приложение было доступно около пяти месяцев и за это время успело набрать более 10 000 загрузок.
Вредоносное приложение использовало название WallConnect и выдавало себя за Web3-инструмент, который якобы может использоваться в качестве прокси между криптовалютными кошельками и децентрализованными приложениями (dApps). Настоящий проект WalletConnect — это опенсорсный протокол криптомоста, который предназначен именно для этого, хотя и с некоторыми ограничениями, поскольку его поддерживают не все кошельки.
Поддельное приложение (co.median.android.rxqnqb) появилось в Google Play еще в марте текущего года под именем Mestox Calculator (имитация опенсорсного проекта названием ). После этого название менялось неоднократно, и приложение быстро повысило свой рейтинг за счет фальшивых пользовательских отзывов, что позволило привлечь к нему больше внимания и потенциальных жертв.
Вредоносное приложение было создано с помощью сервиса median.co, который позволяет преобразовывать сайт в приложение для Android или iOS. В итоге WallConnect, по сути, функционировал как браузер, который открывал указанный сайт.
Так, после установки WallConnect направлял пользователей на вредоносный сайт, имитирующий Web3Inbox, где им предлагалось авторизовать несколько транзакций, что приводило к краже конфиденциальной информации об их криптовалютных кошельках и цифровых активах.
При этом, если пользователи находились в определенных странах (определяется по IP-адресу) и если User-Agent HTTP-запроса не совпадал с User-Agent мобильного устройства, жертв перенаправляли на легитимный ресурс.
Схема атаки
Изучив код самой малвари, исследователи идентифицировали ее как MS Drainer. Она представляет собой один из наиболее продвинутых вредоносных инструментариев для хищения криптовалют, среди всех доступных в настоящее время на черном рынке. Вредонос поддерживает широкий спектр блокчейнов EVM, включая Ethereum, BNB Smart Chain, Polygon, Avalanche, Arbitrum, Fantom и Optimism.
Отличительной чертой MS Drainer являются его возможности по обнаружению активов. Малварь использует для сканирования кошельков пользователей на предмет ценных активов надежных поставщиков, таких как DeBank, Ankr, Zapper и OpenSea. Затем MS Drainer автоматически изымает эти активы. Причем исследователи Check Point отмечают, что в первую очередь малварь выводит более дорогие токены и только после этого ворует менее ценные.
За пять месяцев, пока приложение было доступно в официальном магазине для Android, количество его загрузок достигло 10 000. Аналитики пишут, что не менее 150 жертв пострадали от WallConnect и потеряли цифровые активы на общую сумму свыше 70 000 долларов в криптовалюте. При этом только 20 человек оставили негативные отзывы о приложении в магазине Google Play.
Учитывая разницу между количеством жертв и количеством загрузок WallConnect, исследователи полагают, что операторы вредоноса могли искусственно завысить количество загрузок приложения.
В настоящее время фальшивый WallConnect уже удален из Google Play Store.
