Hónapokig elérhető volt egy adathalász app, jelentős összeget loptak a kriptotárcákból
Az elmúlt hónapokban egy kártékony kriptotárca-applikáció tűnt fel a Google Play áruházban, amely több mint öt hónapon át rejtőzködött, és mintegy 70 000 dollár értékben lopott a felhasználóktól. A Check Point Research által feltárt jelentés szerint ez az első alkalom, hogy mobilfelhasználókat célzó tárca-kiürítő (drainer) alkalmazás jelent meg.
Hogyan működött a támadás?
Az alkalmazás a népszerű WalletConnect nevű kriptotárca-protokollnak álcázta magát. Ez az app lehetővé teszi, hogy különböző kriptotárcákat csatlakoztassunk decentralizált pénzügyi (DeFi) alkalmazásokhoz. Az app letöltése után a hamis visszajelzések és a professzionális megjelenés segítette, hogy több mint 10 000 felhasználó töltse le.
Az áldozatok közül több mint 150 felhasználó összesen körülbelül 70 000 dollár értékű kriptopénzt veszített. Azon felhasználók, akik nem csatlakoztatták tárcájukat, vagy felismerhették a csalást, elkerülték a támadást.
Fejlett technikák és hosszú távú rejtőzködés
A csaló applikáció március 21-én került fel a Google Play áruházba, és több mint öt hónapig észrevétlen maradt, mielőtt végül eltávolították. A Mestox Calculator néven indított alkalmazást többször átnevezték, azonban az URL-je mindig egy ártalmatlannak tűnő kalkulátor weboldalra mutatott.
Ez az eljárás lehetővé tette a fejlesztők számára, hogy kikerüljék a Google Play áruház ellenőrzési folyamatát, mivel a kalkulátor alkalmazás ártalmatlannak tűnt a tesztelés során.
A támadás menete
Miután a felhasználók letöltötték az alkalmazást, az IP-címük és az eszközeik típusának függvényében átirányították őket egy rosszindulatú szerverre. Itt egy MS Drainer nevű szoftver működött, amely kriptopénztárcák leürítésére szolgált. Az alkalmazás különböző engedélyeket kért a felhasználóktól a kriptotárcák csatlakoztatásához és a tranzakciók végrehajtásához. Amint a felhasználó jóváhagyta ezeket a kéréseket, a támadók teljes hozzáférést nyertek a felhasználó tárcájában található eszközökhöz, és elkezdték kiüríteni azokat. A szoftver először a magasabb értékű kriptoeszközöket célozta meg, majd később a kisebb összegű eszközöket is kivonta a tárcákból.
Tanulságok és jövőbeli védekezés
Ez az eset újabb figyelmeztetés arra, hogy a felhasználóknak óvatosnak kell lenniük az alkalmazások letöltésekor, még akkor is, ha azok elsőre megbízhatónak tűnnek. Az applikáció áruházaknak is fejleszteniük kell az ellenőrzési folyamataikat, hogy megakadályozzák a hasonló csaló alkalmazások megjelenését.