محققان امنیت سایبری یک برنامه اندرویدی مخرب را در فروشگاه Google Play کشف کردند که به بازیگران پشت آن امکان میداد تا در مدت تقریباً پنج ماه نزدیک به 70000 دلار ارز دیجیتال از قربانیان سرقت کنند.
این برنامه فراری که توسط Check Point شناسایی شده است، به عنوان پروتکل منبع باز قانونی WalletConnect ظاهر می شود تا کاربران ناآگاه را فریب دهد تا آن را دانلود کنند.
این شرکت امنیت سایبری در تحلیلی گفت: «بررسیهای جعلی و برندسازی ثابت به برنامه کمک کرد تا با رتبهبندی بالا در نتایج جستجو، بیش از 10000 بار دانلود کند.
تخمین زده می شود که بیش از 150 کاربر قربانی این کلاهبرداری شدند، اگرچه اعتقاد بر این است که همه کاربرانی که این برنامه را دانلود کرده اند تحت تأثیر تخلیه ارزهای دیجیتال قرار نگرفته اند.
این کمپین شامل توزیع یک برنامه فریبنده با نامهای مختلفی مانند «ماشین حساب Mestox» https://thehackernews.com/2024/09/»WalletConnect – DeFi & NFTs» و «WalletConnect – Airdrop Wallet» (co.median .android .rxqnqb).
اگرچه این برنامه دیگر برای دانلود از بازار رسمی برنامه در دسترس نیست، داده های SensorTower نشان می دهد که در نیجریه، پرتغال و اوکراین محبوب بوده و به توسعه دهنده ای به نام UNS LIS پیوند داده شده است.
توسعهدهنده همچنین به برنامه اندروید دیگری به نام «Uniswap DeFI» (com.lis.uniswapconverter) مرتبط شده است که حدود یک ماه بین ماههای مه و ژوئن 2023 در فروشگاه Play فعال باقی مانده است. در حال حاضر مشخص نیست که آیا برنامه دارای عملکرد مخربی است یا خیر. .
با این حال، هر دو برنامه را می توان از منابع فروشگاه برنامه شخص ثالث دانلود کرد، که دوباره خطرات ناشی از دانلود فایل های APK از بازارهای دیگر را برجسته می کند.
پس از نصب، برنامه جعلی WallConnect برای هدایت کاربران به یک وب سایت جعلی بر اساس آدرس IP و رشته عامل کاربر طراحی شده است، و اگر چنین است، آنها را به سایت دیگری که Web3Inbox را تقلید می کند هدایت کنید.
کاربرانی که معیارهای لازم را ندارند، از جمله کسانی که از یک مرورگر وب دسکتاپ از URL بازدید میکنند، برای جلوگیری از شناسایی به یک وبسایت قانونی منتقل میشوند و عملاً به عوامل تهدید اجازه میدهد فرآیند بررسی برنامه Play Store را دور بزنند.
علاوه بر انجام اقداماتی برای جلوگیری از تجزیه و تحلیل و اشکال زدایی، مؤلفه اصلی بدافزار یک تخلیه کننده ارز رمزنگاری شده به نام MS Drainer است که از کاربران می خواهد کیف پول خود را پیوند داده و چندین تراکنش را برای تأیید کیف پول خود امضا کنند.
اطلاعات وارد شده توسط قربانی در هر مرحله به سرور فرمان و کنترل (cakeserver(.)آنلاین) ارسال می شود که به نوبه خود پاسخی حاوی دستورالعمل هایی برای شروع تراکنش های مخرب روی دستگاه و انتقال وجه به آدرس کیف پول مهاجمان ارسال می کند.
محققان چک پوینت گفتند: «مشابه سرقت ارز دیجیتال اصلی، برنامه مخرب ابتدا کاربر را فریب می دهد تا تراکنش را در کیف پول خود امضا کند.
“با این تراکنش، قربانی به آدرس مهاجم 0xf721d710e7C27323CC0AeE847bA01147b0fb8dBF (فیلد “آدرس” در پیکربندی) اجازه میدهد تا حداکثر مقدار دارایی مشخصشده را (در صورت مجاز بودن قرارداد هوشمند) منتقل کند.
در مرحله بعدی، توکن ها از کیف پول قربانی به کیف پول دیگری (0xfac247a19Cc49dbA87130336d3fd8dc8b6b944e1) که توسط مهاجمان کنترل می شود، منتقل می شوند.
این همچنین به این معنی است که اگر قربانی مجوز برداشت توکنها را از کیف پول خود لغو نکند، مهاجمان میتوانند پس از ظاهر شدن داراییهای دیجیتال بدون نیاز به اقدام دیگری به برداشتن داراییهای دیجیتال ادامه دهند.
چک پوینت گفت که برنامه مخرب دیگری را نیز شناسایی کرده است که ویژگیهای مشابه «Walletconnect | Web3Inbox» (co.median.android.kaebpq) را نشان میدهد که قبلاً در فوریه 2024 در فروشگاه Google Play در دسترس بود. بیش از 5000 بار دانلود شده بود.
این شرکت خاطرنشان کرد: «این حادثه پیچیدگی روزافزون تاکتیکهای جرایم سایبری را نشان میدهد، به ویژه در حوزه مالی غیرمتمرکز، جایی که کاربران اغلب به ابزارها و پروتکلهای شخص ثالث برای مدیریت داراییهای دیجیتال خود متکی هستند.»
“این برنامه مخرب به بردارهای حمله سنتی مانند مجوزها یا keylogging متکی نبود. در عوض، از قراردادهای هوشمند و پیوند عمیق برای تخلیه بیصدا داراییها با فریب دادن کاربران به استفاده از برنامه استفاده میکرد.”
منبع: https://thehackernews.com/2024/09/crypto-scam-app-disguised-as.html