Pesquisadores de segurança cibernética descobriram um aplicativo Android malicioso na Google Play Store que permitiu que atores mal-intencionados roubassem cerca de US$ 70.000 em criptomoedas das vítimas durante um período de cinco meses.
O aplicativo duvidoso, identificado pela Check Point, foi feito para se parecer com o protocolo oficial WalletConnect de código aberto para induzir usuários desavisados a baixá-lo.
“Avaliações falsas e marcas consistentes ajudaram o aplicativo a alcançar mais de 10.000 downloads, obtendo uma classificação elevada nos resultados de pesquisa”, disse a empresa de segurança cibernética em uma análise, acrescentando que foi a primeira vez que um drenador de criptomoedas teve como alvo específico usuários de dispositivos móveis.
Estima-se que mais de 150 usuários tenham sido vítimas do golpe, embora se acredite que nem todos os usuários que baixaram o aplicativo foram afetados pelo drenador de criptomoedas.
A campanha envolveu a distribuição de um aplicativo enganoso com vários nomes, como “Mestox Calculator”, “WalletConnect – DeFi e NFTs” e “WalletConnect – Airdrop Wallet” (co.median.android.rxqnqb).
Embora o aplicativo não esteja mais disponível para download no mercado oficial de aplicativos, dados do SensorTower mostram que ele era popular na Nigéria, Portugal e Ucrânia e está vinculado a um desenvolvedor chamado UNS LIS.
O desenvolvedor também foi vinculado a outro aplicativo Android chamado “Uniswap DeFI” (com.lis.uniswapconverter) que está ativo na Google Play Store há cerca de um mês entre maio e junho de 2023. Ainda não se sabe se o aplicativo teve funcionalidade maliciosa. .
No entanto, ambos os aplicativos podem ser baixados de fontes de lojas de aplicativos de terceiros, e os riscos representados pelo download de arquivos APK de outros mercados são destacados.
Uma vez instalado, o aplicativo WallConnect falso é projetado para redirecionar os usuários para um site falso com base em seu endereço IP e na string do agente do usuário e, em caso afirmativo, redirecioná-los uma segunda vez para outro site que se faz passar pelo Web3Inbox.
Os usuários que não atendem aos critérios exigidos, incluindo aqueles que visitam o URL em um navegador de desktop, são redirecionados para o site oficial para evitar a detecção, permitindo efetivamente que atores mal-intencionados contornem o processo de revisão do aplicativo na Google Play Store.
Além de tomar medidas para impedir a análise e depuração, a parte principal do malware é extrair a criptomoeda conhecida como MS Drainer, que solicita aos usuários que conectem sua carteira e assinem algumas transações para verificar sua carteira.
As informações inseridas pela vítima em cada etapa são transmitidas ao servidor de comando e controle (cakeserver[.]online) que, por sua vez, retorna uma resposta contendo instruções para iniciar uma transação maliciosa no dispositivo e transferir fundos para o endereço da carteira dos invasores.
“Semelhante ao roubo de criptomoeda nativa, o aplicativo malicioso começa enganando o usuário para que ele assine uma transação em sua carteira”, disseram os pesquisadores da Check Point.
“Com esta transação, a vítima dá permissão ao endereço do invasor 0xf721d710e7C27323CC0AeE847bA01147b0fb8dBF (o campo 'Endereço' na configuração) para transferir o valor máximo do ativo especificado (se permitido por seu contrato inteligente).”
Na próxima etapa, os tokens da carteira da vítima são transferidos para uma carteira diferente (0xfac247a19Cc49dbA87130336d3fd8dc8b6b944e1) controlada pelos invasores.
Isso também significa que, se a vítima não revogar a permissão para retirar tokens de sua carteira, os invasores poderão continuar a retirar ativos digitais assim que aparecerem, sem exigir qualquer ação adicional.
A Check Point disse que também identificou outro aplicativo malicioso exibindo os mesmos recursos do “Walletconnect | Web3Inbox” (co.median.android.kaebpq), que estava disponível anteriormente na Google Play Store em fevereiro de 2024. Atraiu mais de 5.000 downloads.
“Este incidente destaca o desenvolvimento de táticas de crime cibernético, especialmente no setor financeiro descentralizado, onde os utilizadores dependem frequentemente de ferramentas e protocolos de terceiros para gerir os seus ativos digitais”, observou a empresa.
“O aplicativo não dependia de vetores de ataque comuns, como permissões ou pressionamentos de teclas. Em vez disso, ele usava contratos inteligentes e links diretos para extrair ativos silenciosamente se os usuários fossem induzidos a usar o aplicativo.”
