IT 安全公司 Check Point Research 发现了一个加密钱包盗取程序,该程序在 Google Play 商店中使用“高级规避技术”,在五个月内窃取了超过 70,000 美元。
该恶意应用程序伪装成 WalletConnect协议,加密货币领域的知名应用程序,可以将各种加密货币钱包连接到去中心化金融(DeFi)应用程序。
该公司在 9 月 26 日的博客文章中表示,它标志着“第一个时间消耗者专门针对移动用户。”
“虚假评论和一致的品牌帮助该应用在搜索结果中排名靠前,从而实现了超过 10,000 次下载,”Check Point Research 表示。
超过 150用户被盗走了大约 70,000 美元——并非所有应用程序用户都成为目标,因为有些用户没有连接钱包或认为这是一个骗局。 Check Point Research 表示,其他人“可能不符合恶意软件的特定目标标准”。
有关欺骗性 WalletConnect 应用程序的一些虚假评论提到了一些毫无意义的功能。o 使用加密货币。来源:Check Point Research
它补充说,这款假冒应用程序于 3 月 21 日在谷歌应用商店上架,并使用“高级规避技术”在五个多月内未被发现。目前已被删除。
该应用程序最初以“Mestox Calculator”的名称发布,并经过多次更改,但其应用程序 URL 仍然指向一个看似无害的计算器网站。
“这种技术允许攻击者通过 Google Play 中的应用程序审核流程,因为自动和手动检查将加载‘无害’的计算器应用程序,”研究人员表示。
但是,根据用户的 IP 地址位置以及用户是否使用移动设备,他们会被重定向到包含钱包盗用软件 MS Drainer 的恶意应用程序后端。
< /img>假冒 WalletConnect 应用程序如何消耗某些用户资金的图表。来源:Check Point Research
与其他钱包盗取计划非常相似,伪造的钱包连接应用程序提示用户连接钱包 - 由于实际应用程序的工作方式,这不会引起怀疑。
然后,用户会被要求接受各种权限来“验证他们的钱包”,从而授予以下权限: Check Point Research 表示,攻击者的地址“可转移指定资产的最大金额”。
相关:Polymarket 用户抱怨神秘的 Google 登录钱包攻击
“应用程序检索该值受害者钱包中的所有资产。它首先尝试撤回更昂贵的代币,然后是更便宜的代币。”它补充道。
“这一事件凸显了网络犯罪策略的日益复杂化,”Check Point Research 写道。 “恶意应用程序不依赖于权限或键盘记录等传统攻击媒介。相反,一旦用户被诱骗使用该应用程序,它就会使用智能合约和深层链接悄悄地耗尽资产。”
它补充说,用户必须“警惕他们下载的应用程序,即使是当它们看起来合法时”,应用程序商店必须改进其验证流程以阻止恶意应用程序。
“加密货币社区需要继续教育用户有关 Web3 技术的风险,”研究人员表示。 “此案例表明,即使看似无害的互动也可能导致重大财务损失。”
Google 没有立即回复置评请求。
加密货币安全:2 名审计员漏报了 27 美元M Penpie 缺陷,Pythia 的“领取奖励”错误