Pesquisadores de segurança cibernética descobriram um aplicativo Android malicioso na Google Play Store que permitiu que os atores por trás dele roubassem aproximadamente US$70.000 em criptomoedas de vítimas ao longo de quase cinco meses.
O aplicativo fraudulento, identificado pela Check Point, se passava pelo legítimo protocolo de código aberto WalletConnect para enganar usuários desavisados a baixá-lo.
“Avaliações falsas e branding consistente ajudaram o aplicativo a alcançar mais de 10.000 downloads ao figurar no topo dos resultados de busca,” disse a empresa de segurança cibernética em uma análise, acrescentando que é a primeira vez que um “crypto drainer” exclusivamente visou usuários de dispositivos móveis.
Mais de 150 usuários estima-se terem caído no golpe, embora acredita-se que nem todos os usuários que baixaram o aplicativo foram afetados pelo “crypto drainer”.
A campanha envolvia distribuir um aplicativo enganoso que tinha vários nomes como “Mestox Calculator,” “WalletConnect – DeFi & NFTs” e “WalletConnect – Airdrop Wallet” (co.median.android.rxqnqb).
Embora o aplicativo não esteja mais disponível para download na loja oficial de aplicativos, dados da SensorTower mostram que ele era popular na Nigéria, Portugal e Ucrânia, e estava vinculado a um desenvolvedor chamado UNS LIS.
O desenvolvedor também estava associado a outro aplicativo Android chamado “Uniswap DeFI” (com.lis.uniswapconverter) que permaneceu ativo na Play Store por cerca de um mês entre maio e junho de 2023. Atualmente, não se sabe se o aplicativo tinha alguma funcionalidade maliciosa.
No entanto, ambos os aplicativos podem ser baixados de fontes de lojas de aplicativos de terceiros, destacando mais uma vez os riscos de baixar arquivos APK de outras lojas.
Depois de instalado, o falso aplicativo WallConnect é projetado para redirecionar os usuários para um site falso com base em seu endereço IP e string User-Agent e, se for o caso, redirecioná-los uma segunda vez para outro site que imita o Web3Inbox.
Usuários que não atendem aos critérios necessários, incluindo aqueles que visitam a URL de um navegador web em desktop, são direcionados para um site legítimo para evadir detecção, permitindo efetivamente que os atores contornem o processo de revisão do aplicativo na Play Store.
Além de tomar medidas para evitar análises e depuração, o componente central do malware é um “crypto drainer” conhecido como MS Drainer, que solicita aos usuários que conectem suas carteiras e assinem várias transações para verificar suas carteiras.
As informações inseridas pela vítima em cada etapa são transmitidas a um servidor de comando e controle (cakeserver[.]online) que, por sua vez, envia de volta uma resposta contendo instruções para acionar transações maliciosas no dispositivo e transferir os fundos para um endereço de carteira pertencente aos atacantes.
“Similar ao roubo de criptomoedas nativas, o aplicativo malicioso primeiro engana o usuário para assinar uma transação em sua carteira,” disseram os pesquisadores da Check Point.
“Através desta transação, a vítima concede permissão para o endereço do atacante 0xf721d710e7C27323CC0AeE847bA01147b0fb8dBF (o campo ‘Endereço’ na configuração) transferir a quantidade máxima do ativo especificado (se permitido pelo seu smart contract).”
Na próxima etapa, os tokens da carteira da vítima são transferidos para uma carteira diferente (0xfac247a19Cc49dbA87130336d3fd8dc8b6b944e1) controlada pelos atacantes.
Isso também significa que se a vítima não revogar a permissão para retirar tokens de sua carteira, os atacantes podem continuar a retirar os ativos digitais assim que eles aparecerem sem exigir mais nenhuma ação.
A Check Point também identificou outro aplicativo malicioso exibindo características similares chamado “Walletconnect | Web3Inbox” (co.median.android.kaebpq) que estava disponível anteriormente na Google Play Store em fevereiro de 2024. Ele atraiu mais de 5.000 downloads.
“Este incidente destaca a crescente sofisticação das táticas de cibercriminosos, especialmente no âmbito das finanças descentralizadas, onde os usuários frequentemente dependem de ferramentas de terceiros e protocolos para gerenciar seus ativos digitais,” observou a empresa.
“O aplicativo malicioso não dependia de vetores de ataque tradicionais como permissões ou keylogging. Em vez disso, ele usou contratos inteligentes e deep links para drenar silenciosamente os ativos assim que os usuários eram enganados a usar o aplicativo.”