Калькулятор - троян: как мошенники обманули Google Play и украли $70 000

Команда Check Point Research (CPR) обнаружила на Google Play вредоносное приложение-криптодрейнер, предназначенное для кражи криптовалюты. Это первый случай, когда дрейнер ориентирован исключительно на мобильные устройства. Приложение использовало методы обхода обнаружения и находилось в магазине почти 5 месяцев, пока его не удалили.

Приложение под названием «WalletConnect – Crypto Wallet» маскировалось под инструмент для работы с Web3 и использовало имя популярного протокола WalletConnect, соединяющего криптокошельки с децентрализованными приложениями. Фальшивые отзывы и узнаваемый бренд помогли достичь более 10 000 скачиваний. При этом приложение появлялось в топе поисковой выдачи на Google Play.

Применение социальной инженерии и современных инструментов криптодрейнера позволило злоумышленникам похитить криптовалюту на $70 000 у около 150 жертв.

Вредоносное приложение в Google Play

Криптодрейнер – это вредоносный инструмент для кражи цифровых активов, включая NFT и токены из криптокошельков. Для похищения средств криптодрейнер использует фишинг и смарт-контракты. Часто пользователи перенаправляются на поддельные сайты, имитирующие легитимные платформы, где жертв просят подписать фальшивые транзакции. Как только пользователь подтверждает такую транзакцию, активы автоматически выводятся на счета злоумышленников.

WalletConnect — это протокол с открытым исходным кодом, обеспечивающий безопасную связь между децентрализованными приложениями (dApps) и криптокошельками. Однако некоторые сложности с подключением к WalletConnect сбивают с толку пользователей, что и использовали мошенники. Трудности связаны с тем, что не все кошельки поддерживают WalletConnect, а его несовместимость с устаревшими версиями некоторых кошельков только усугубляет проблему.

Приложение было создано с использованием сервиса median.co, который позволяет преобразовать сайт в мобильное приложение. Оно фактически выполняло функции браузера, открывающего определенный сайт. При загрузке в браузере пользователи видели простой калькулятор «Mestox Calculator», что помогало обходить проверки безопасности Google Play.

При этом в приложении скрытно работал вредоносный функционал, который заключался в перенаправлении пользователя на ресурс connectprotocol[.]app/gate/index.php, под видом проверки кошелька предлагалось подписывать транзакции, после чего активы пользователей автоматически переводились на счета злоумышленников.

Приложение-приманка Mestox Calculator

Инструмент MS Drainer, использованный в приложении, поддерживает множество блокчейнов, включая Ethereum, BNB Smart Chain, Polygon, и быстро находит активы жертв.

Для защиты от подобных угроз пользователи должны тщательно проверять приложения перед их загрузкой, а магазины приложений обязаны усилить свои процедуры проверки. Образовательные инициативы внутри криптосообщества также играют ключевую роль в информировании о рисках, связанных с Web3-технологиями.