برنامه کلاهبرداری رمزنگاری پنهان به عنوان WalletConnect 70000 دلار در کمپین پنج ماهه سرقت کرد

Crypto Scam App

28 سپتامبر 2024راوی لاکشمانانرمزارز / امنیت موبایل

برنامه کلاهبرداری کریپتو

محققان امنیت سایبری یک برنامه اندرویدی مخرب را در فروشگاه Google Play کشف کردند که به بازیگران پشت آن امکان می‌داد تا در مدت تقریباً پنج ماه نزدیک به 70000 دلار ارز دیجیتال از قربانیان سرقت کنند.

این برنامه فراری که توسط Check Point شناسایی شده است، به عنوان پروتکل منبع باز قانونی WalletConnect ظاهر می شود تا کاربران ناآگاه را فریب دهد تا آن را دانلود کنند.

این شرکت امنیت سایبری در تحلیلی گفت: «بررسی‌های جعلی و برندسازی ثابت به برنامه کمک کرد تا با رتبه‌بندی بالا در نتایج جستجو، بیش از 10000 بار دانلود کند.

تخمین زده می شود که بیش از 150 کاربر قربانی این کلاهبرداری شدند، اگرچه اعتقاد بر این است که همه کاربرانی که این برنامه را دانلود کرده اند تحت تأثیر تخلیه ارزهای دیجیتال قرار نگرفته اند.

امنیت سایبری

این کمپین شامل توزیع یک برنامه فریبنده با نام‌های مختلفی مانند «ماشین حساب Mestox» https://thehackernews.com/2024/09/»WalletConnect – DeFi & NFTs» و «WalletConnect – Airdrop Wallet» (co.median .android .rxqnqb).

اگرچه این برنامه دیگر برای دانلود از بازار رسمی برنامه در دسترس نیست، داده های SensorTower نشان می دهد که در نیجریه، پرتغال و اوکراین محبوب بوده و به توسعه دهنده ای به نام UNS LIS پیوند داده شده است.

توسعه‌دهنده همچنین به برنامه اندروید دیگری به نام «Uniswap DeFI» (com.lis.uniswapconverter) مرتبط شده است که حدود یک ماه بین ماه‌های مه و ژوئن 2023 در فروشگاه Play فعال باقی مانده است. در حال حاضر مشخص نیست که آیا برنامه دارای عملکرد مخربی است یا خیر. .

برنامه کلاهبرداری کریپتو

با این حال، هر دو برنامه را می توان از منابع فروشگاه برنامه شخص ثالث دانلود کرد، که دوباره خطرات ناشی از دانلود فایل های APK از بازارهای دیگر را برجسته می کند.

پس از نصب، برنامه جعلی WallConnect برای هدایت کاربران به یک وب سایت جعلی بر اساس آدرس IP و رشته عامل کاربر طراحی شده است، و اگر چنین است، آنها را به سایت دیگری که Web3Inbox را تقلید می کند هدایت کنید.

کاربرانی که معیارهای لازم را ندارند، از جمله کسانی که از یک مرورگر وب دسکتاپ از URL بازدید می‌کنند، برای جلوگیری از شناسایی به یک وب‌سایت قانونی منتقل می‌شوند و عملاً به عوامل تهدید اجازه می‌دهد فرآیند بررسی برنامه Play Store را دور بزنند.

علاوه بر انجام اقداماتی برای جلوگیری از تجزیه و تحلیل و اشکال زدایی، مؤلفه اصلی بدافزار یک تخلیه کننده ارز رمزنگاری شده به نام MS Drainer است که از کاربران می خواهد کیف پول خود را پیوند داده و چندین تراکنش را برای تأیید کیف پول خود امضا کنند.

برنامه کلاهبرداری کریپتو

اطلاعات وارد شده توسط قربانی در هر مرحله به سرور فرمان و کنترل (cakeserver(.)آنلاین) ارسال می شود که به نوبه خود پاسخی حاوی دستورالعمل هایی برای شروع تراکنش های مخرب روی دستگاه و انتقال وجه به آدرس کیف پول مهاجمان ارسال می کند.

محققان چک پوینت گفتند: «مشابه سرقت ارز دیجیتال اصلی، برنامه مخرب ابتدا کاربر را فریب می دهد تا تراکنش را در کیف پول خود امضا کند.

“با این تراکنش، قربانی به آدرس مهاجم 0xf721d710e7C27323CC0AeE847bA01147b0fb8dBF (فیلد “آدرس” در پیکربندی) اجازه می‌دهد تا حداکثر مقدار دارایی مشخص‌شده را (در صورت مجاز بودن قرارداد هوشمند) منتقل کند.

در مرحله بعدی، توکن ها از کیف پول قربانی به کیف پول دیگری (0xfac247a19Cc49dbA87130336d3fd8dc8b6b944e1) که توسط مهاجمان کنترل می شود، منتقل می شوند.

امنیت سایبری

این همچنین به این معنی است که اگر قربانی مجوز برداشت توکن‌ها را از کیف پول خود لغو نکند، مهاجمان می‌توانند پس از ظاهر شدن دارایی‌های دیجیتال بدون نیاز به اقدام دیگری به برداشتن دارایی‌های دیجیتال ادامه دهند.

چک پوینت گفت که برنامه مخرب دیگری را نیز شناسایی کرده است که ویژگی‌های مشابه «Walletconnect | Web3Inbox» (co.median.android.kaebpq) را نشان می‌دهد که قبلاً در فوریه 2024 در فروشگاه Google Play در دسترس بود. بیش از 5000 بار دانلود شده بود.

این شرکت خاطرنشان کرد: «این حادثه پیچیدگی روزافزون تاکتیک‌های جرایم سایبری را نشان می‌دهد، به ویژه در حوزه مالی غیرمتمرکز، جایی که کاربران اغلب به ابزارها و پروتکل‌های شخص ثالث برای مدیریت دارایی‌های دیجیتال خود متکی هستند.»

“این برنامه مخرب به بردارهای حمله سنتی مانند مجوزها یا keylogging متکی نبود. در عوض، از قراردادهای هوشمند و پیوند عمیق برای تخلیه بی‌صدا دارایی‌ها با فریب دادن کاربران به استفاده از برنامه استفاده می‌کرد.”

این مقاله جالب بود؟ ما را دنبال کنید توییتر و لینکدین برای خواندن مطالب انحصاری بیشتر ما.



منبع: https://thehackernews.com/2024/09/crypto-scam-app-disguised-as.html