Istraživači cyber sigurnosti otkrili su malicioznu Android aplikaciju na Google Play Store-u koja je omogućila hakerima koje stoje iza nje da ukradu približno 70.000 dolara u kriptovaluti od žrtava u periodu od skoro pet mjeseci.
Nepredvidljiva aplikacija, koju je identificirao Check Point, maskirana je kao legitimni WalletConnect open-source protokol kako bi prevarila nesuđene korisnike da je preuzmu.
“Lažne recenzije i dosljedno brendiranje pomogli su aplikaciji da postigne više od 10.000 preuzimanja tako što se visoko rangira u rezultatima pretraživanja”, rekla je kompanija za cyber sigurnost u analizi, dodajući da je to prvi put da je alat za ispuštanje kriptovaluta isključivo ciljao korisnike mobilnih uređaja.
Procjenjuje se da je više od 150 korisnika postalo žrtva prevare, iako se vjeruje da nisu svi korisnici koji su preuzeli aplikaciju bili pogođeni izlivom kriptovaluta.
Kampanja je uključivala distribuciju obmanjujuće aplikacije koja je nosila nekoliko imena kao što su “Mestox Calculator”, “WalletConnect – DeFi & NFTs” i “WalletConnect – Airdrop Wallet” (co.median.android.rxqnqb).
Iako aplikacija više nije dostupna za preuzimanje sa službenog tržišta aplikacija, podaci sa platforme za analizu aplikacija Sensor Tower pokazuju da je bila popularna u Nigeriji, Portugalu i Ukrajini i povezana s programerom po imenu UNS LIS .
Programer je takođe povezan s drugom Android aplikacijom pod nazivom “Uniswap DeFI” (com.lis.uniswapconverter) koja je ostala aktivna u Play Storeu otprilike mjesec dana između maja i juna 2023. Trenutno nije poznato da li je aplikacija imala bilo kakvu malicioznu funkciju.
Međutim, obe aplikacije se mogu preuzeti iz izvora aplikacija trećih strana, još jednom naglašavajući rizike koje predstavlja preuzimanje APK datoteka s drugih tržišta.
Jednom instalirana, lažna WallConnect aplikacija je dizajnirana da preusmjeri korisnike na lažnu web stranicu na osnovu njihove IP adrese i User-Agent stringa, i ako je tako, preusmjeri ih drugi put na drugu stranicu koja imitira Web3Inbox.
Korisnici koji ne ispunjavaju tražene kriterije, uključujući one koji posjete URL iz desktop web pretraživača, bivaju odvedeni na legitimnu web stranicu kako bi izbjegli otkrivanje, efektivno omogućavajući hakerima da zaobiđu proces pregleda aplikacije u Play Store-u.
Osim preduzimanja koraka za sprječavanje analize i otklanjanja grešaka, osnovna komponenta malicioznog softvera je alat za ispuštanje kriptovaluta poznat kao MS Drainer, koji poziva korisnike da povežu svoj novčanik i potpišu nekoliko transakcija kako bi potvrdili svoj novčanik.
Informacije koje žrtva unese u svakom koraku prenose se na server za komandu i kontrolu (cakeserver[.]online) koji zauzvrat šalje natrag odgovor koji sadrži upute za pokretanje malicioznihtransakcija na uređaju i prijenos sredstava na adresa novčanika koja pripada napadačima.
“Slično kao kod krađe izvorne kriptovalute, zlonamjerna aplikacija prvo prevari korisnika da potpiše transakciju u svom novčaniku”, rekli su istraživači Check Pointa.
“Kroz ovu transakciju, žrtva daje dozvolu za adresu napadača 0xf721d710e7C27323CC0AeE847bA01147b0fb8dBF (polje ‘Adresa’ u konfiguraciji) za prijenos maksimalnog iznosa navedenog sredstva (ako je dozvoljeno njegovim pametnim ugovorom).”
U sledećem koraku, tokeni iz novčanika žrtve se prenose u drugi novčanik (0xfac247a19Cc49dbA87130336d3fd8dc8b6b944e1) koji kontrolišu napadači.
To takođe znači da ako žrtva ne opozove dozvolu za povlačenje tokena iz svog novčanika, napadači mogu nastaviti povlačiti digitalna sredstva čim se pojave bez potrebe za daljnjim djelovanjem.
Check Point je rekao da je takođe identificirao još jednu malicioznu aplikaciju sa sličnim karakteristikama “Walletconnect | Web3Inbox” (co.median.android.kaebpq) koja je ranije bila dostupna na Google Play Storeu u februaru 2024. Privukla je više od 5.000 preuzimanja.
“Ovaj incident naglašava rastuću sofisticiranost taktike cyber kriminala, posebno u domenu decentraliziranih finansija, gdje se korisnici često oslanjaju na alate i protokole trećih strana za upravljanje svojom digitalnom imovinom”, istakla je kompanija.
“Maliciozna aplikacija se nije oslanjala na tradicionalne vektore napada kao što su dozvole ili keylogging. Umjesto toga, koristila je pametne ugovore i duboke veze za tiho odvođenje sredstava nakon što su korisnici prevareni da koriste aplikaciju.”
Izvor:The Hacker News
