Pesquisadores de segurança cibernética descobriram um aplicativo Android malicioso na Google Play Retailer que permitiu aos agentes da ameaça por trás dele roubar aproximadamente US$ 70.000 em criptomoedas das vítimas durante um período de quase cinco meses.
O aplicativo duvidoso, identificado pela Test Level, se disfarçou como o legítimo protocolo de código aberto WalletConnect para enganar usuários desavisados e fazê-los baixá-lo.
“Avaliações falsas e marcas consistentes ajudaram o aplicativo a alcançar mais de 10.000 downloads, obtendo uma classificação elevada nos resultados de pesquisa”, disse a empresa de segurança cibernética em uma análise, acrescentando que é a primeira vez que um drenador de criptomoedas tem como alvo exclusivo usuários de dispositivos móveis.
Estima-se que mais de 150 usuários tenham sido vítimas do golpe, embora se acredite que nem todos os usuários que baixaram o aplicativo foram afetados pelo drenador de criptomoedas.
A campanha envolveu a distribuição de um aplicativo enganoso que tinha vários nomes, como “Mestox Calculator”, “WalletConnect – DeFi & NFTs” e “WalletConnect – Airdrop Pockets” (co.median.android.rxqnqb).
Embora o aplicativo não esteja mais disponível para obtain no mercado oficial de aplicativos, dados do SensorTower mostram que ele period well-liked na Nigéria, Portugal e Ucrânia e estava vinculado a um desenvolvedor chamado UNS LIS.
O desenvolvedor também foi associado a outro aplicativo Android chamado “Uniswap DeFI” (com.lis.uniswapconverter) que permaneceu ativo na Play Retailer por cerca de um mês entre maio e junho de 2023. Atualmente não se sabe se o aplicativo tinha alguma funcionalidade maliciosa .
No entanto, ambos os aplicativos podem ser baixados de fontes de lojas de aplicativos de terceiros, mais uma vez destacando os riscos representados pelo obtain de arquivos APK de outros mercados.
Uma vez instalado, o aplicativo WallConnect falso é projetado para redirecionar os usuários para um web site falso com base em seu endereço IP e na string do agente do usuário e, em caso afirmativo, redirecioná-los uma segunda vez para outro web site que imite o Web3Inbox.
Os usuários que não atendem aos critérios exigidos, incluindo aqueles que visitam o URL em um navegador de desktop, são levados a um web site legítimo para evitar a detecção, permitindo efetivamente que os agentes da ameaça contornem o processo de revisão do aplicativo na Play Retailer.
Além de tomar medidas para evitar análises e depuração, o componente principal do malware é um drenador de criptomoedas conhecido como MS Drainer, que solicita aos usuários que conectem suas carteiras e assinem diversas transações para verificar sua carteira.
As informações inseridas pela vítima em cada etapa são transmitidas para um servidor de comando e controle (cakeserver(.)on-line) que, por sua vez, envia de volta uma resposta contendo instruções para acionar transações maliciosas no dispositivo e transferir os fundos para um endereço da carteira pertencente aos invasores.
“Semelhante ao roubo de criptomoeda nativa, o aplicativo malicioso primeiro engana o usuário para que ele assine uma transação em sua carteira”, disseram os pesquisadores da Test Level.
“Por meio desta transação, a vítima concede permissão ao endereço do invasor 0xf721d710e7C27323CC0AeE847bA01147b0fb8dBF (o campo 'Endereço' na configuração) para transferir a quantidade máxima do ativo especificado (se permitido por seu contrato inteligente).”
Na próxima etapa, os tokens da carteira da vítima são transferidos para uma carteira diferente (0xfac247a19Cc49dbA87130336d3fd8dc8b6b944e1) controlada pelos invasores.
Isto também significa que se a vítima não revogar a permissão para retirar tokens da sua carteira, os atacantes podem continuar a retirar os activos digitais assim que aparecerem, sem necessidade de qualquer acção adicional.
A Test Level disse que também identificou outro aplicativo malicioso exibindo recursos semelhantes “Walletconnect | Web3Inbox” (co.median.android.kaebpq) que estava disponível anteriormente na Google Play Retailer em fevereiro de 2024. Ele atraiu mais de 5.000 downloads.
“Este incidente destaca a crescente sofisticação das táticas cibercriminosas, particularmente no domínio das finanças descentralizadas, onde os utilizadores dependem frequentemente de ferramentas e protocolos de terceiros para gerir os seus ativos digitais”, observou a empresa.
“O aplicativo malicioso não dependia de vetores de ataque tradicionais, como permissões ou keylogging. Em vez disso, ele usava contratos inteligentes e hyperlinks diretos para drenar recursos silenciosamente quando os usuários eram induzidos a usar o aplicativo.”
