Цифровое вымогательство в Google Play: как мошенники обманули больше 150 человек – Пульс новости ‘8.3’

Ключевые выводы

• Исследование Check Point Research (CPR) обнаружило вредоносное приложение в Google Play, предназначенное для кражи криптовалюты, впервые нацеленное исключительно на пользователей мобильных устройств.
• Приложение использовало набор методов обхода, чтобы избежать обнаружения, и оставалось доступным почти пять месяцев, прежде чем было удалено.
• Для имитации законного инструмента для приложений Web3 злоумышленники использовали доверенное имя протокола WalletConnect, который связывает криптокошельки с децентрализованными приложениями.
• Фальшивые отзывы и постоянный брендинг помогли приложению достичь более 10000 загрузок, заняв высокое место в результатах поиска.
• Продвинутый социальный инжиниринг и использование самого современного набора инструментов для кражи криптовалюты позволили хакерам украсть примерно 70 000 долларов США в криптовалюте у жертв.

Кража крипто активов

Крипто-дропперы — это вредоносные инструменты, которые крадут цифровые активы, такие как NFT и токены, из криптовалютных кошельков. Они часто используют методы фишинга и применяют смарт-контракты, чтобы усилить свое влияние. Как правило, пользователи попадают в ловушку посещения фишинговых веб-сайтов, которые имитируют законные криптовалютные платформы. Затем дропперы инициируют мошеннические транзакции и обманывают пользователей, заставляя их подписывать их, позволяя дропперу переводить средства злоумышленнику.

Эволюция мошенничества

По мере того, как криптовалютные кошельки становятся более безопасными, а пользователи Web3 больше осведомлены о вредоносных методах, злоумышленникам становится все труднее обмануть жертву и заставить ее разрешить вредоносную транзакцию дроппера. Теперь киберпреступники разрабатывают более изощренные методы обмана пользователей.

В последнее время злоумышленники переключили свое внимание на мобильные устройства, что стало первым случаем, когда дропперы целенаправленно выбирали мобильных пользователей. Check Point Research (CPR) обнаружил вредоносное приложение для кражи криптовалюты в Google Play, которое использовало имя известного протокола Web3, WalletConnect, создавая иллюзию законности. Используя продвинутые методы обхода, впервые опубликованные 21 марта 2024 года, приложение оставалось незамеченным более пяти месяцев и было загружено более 10 000 раз.

Фальшивое приложение WalletConnect уже было удалено из Google Play. Тем не менее, ему удалось стать жертвой более 150 пользователей, что привело к убыткам, превышающим 70 000 долларов США. Не все пользователи, загрузившие дроппер, пострадали. Некоторые не завершили подключение кошелька, другие распознали подозрительную активность и обезопасили свои активы, а некоторые, возможно, не соответствовали конкретным критериям таргетинга вредоносного ПО.

Протокол WalletConnect

WalletConnect — это протокол с открытым исходным кодом, который служит мостом между децентрализованными приложениями (dApps) и криптовалютными кошельками, используя либо QR-код, либо глубокую ссылку, которые являются URL-адресами, которые перенаправляют непосредственно в определенную часть приложения. Он позволяет пользователям взаимодействовать с dApps напрямую из своих мобильных кошельков без необходимости раскрывать закрытые ключи, что делает его важным инструментом для повышения безопасности и удобства использования в экосистеме децентрализованных финансов (DeFi).

Однако пользователи могут столкнуться с проблемами при использовании WalletConnect при подключении к приложениям Web3. Некоторые кошельки не поддерживают WalletConnect. Например, один из самых популярных кошельков для сетей EVM, MetaMask, не поддерживал WalletConnect v2 до прошлого года, что вызывало трудности для многих пользователей (https://github.com/WalletConnect/walletconnect-monorepo/issues/2622). Кроме того, даже если кошелек реализует поддержку WalletConnect, у некоторых пользователей могут отсутствовать автоматические обновления приложений, и они могут по-прежнему использовать устаревшие версии.

В таких ситуациях, когда при открытии приложения Web3 в мобильном браузере и попытке подключить кошелек через WalletConnect, приложение кошелька обычно открывается, но подключение не происходит.

Если подключение кошелька к приложению Web3 не удается, окно подключения к кошельку может создать впечатление, что WalletConnect — это просто еще один кошелек, такой как MetaMask. Например, вот как выглядит окно подключения на популярной платформе OpenSea:

Учитывая все сложности с WalletConnect, неопытный пользователь может прийти к выводу, что это отдельное приложение для кошелька, которое необходимо загрузить и установить. Злоумышленники используют замешательство, надеясь, что пользователи будут искать приложение WalletConnect в магазине приложений.

Однако при поиске WalletConnect в Google Play пользователи находят вредоносное приложение “WalletConnect — Crypto Wallet” в верхней части списка:

Несмотря на высокий рейтинг приложения и множество положительных отзывов, для выявления следующего несоответствия необходим более глубокий, более тщательный анализ:

Отзывы о приложении явно поддельные, так как они не связаны с реальным содержимым приложения. После анализа страниц отзывов мы обнаружили распространенные поддельные отзывы на английском, французском и испанском языках.

Вредоносное приложение WalletConnect, которое мы нашли, имеет имя пакета — “co.median.android.rxqnqb” и было создано с использованием сервиса median.co. Этот сервис позволяет пользователям конвертировать веб-сайт в приложение для Android или iOS. Приложение по сути функционирует как веб-браузер, который открывает заданный сайт. Median.co позволяет настраивать значок приложения, строку состояния, поведение при нажатии ссылок, начальный URL и другие параметры.

Приложение было опубликовано в Google Play 21 марта 2024 года под названием “Mestox Calculator”. Название приложения позже несколько раз менялось.

Оригинал новости

---

Пульс Новости 8.3 из 10

• **Значимость новости:** 9 – Новость раскрывает новую тактику кражи криптовалюты, нацеленную на мобильных пользователей, что является значительной информацией для криптовалютного рынка.
• **Инновационная ценность новости:** 7 – Новость подчеркивает использование передовых методов, таких как социальная инженерия и эксплойты криптокошельков, что представляет собой инновационный подход в сфере криптопреступности.
• **Потенциальное влияние новости на рынок:** 8 – Новость повышает осведомленность пользователей о подобных мошеннических схемах, что может привести к более осторожному поведению и снижению потерь от краж криптовалюты.
• **Релевантность новости:** 10 – Новость напрямую связана с криптовалютным рынком, поскольку она информирует о мошенничестве и кражах криптовалюты.
• **Актуальность новости:** 10 – Новость является актуальной, поскольку она сообщает о недавнем обнаружении вредоносного приложения и информирует пользователей о текущих угрозах.
• **Достоверность новости:** 9 – Исследовательская группа Check Point имеет хорошую репутацию, а новость подкрепляется результатами их собственного исследования.
• **Общий тон новости:** 7 – Новость имеет сбалансированный тон, подчеркивая серьезность проблемы, но также предоставляя меры предосторожности и рекомендации по защите.

8.3