Cybersecurity-onderzoekers hebben een kwaadaardige Android-app ontdekt in de Google Play Store waarmee de dreigingsactoren erachter ongeveer $70.000 aan cryptocurrency van slachtoffers konden stelen gedurende een periode van bijna vijf maanden.
De onbetrouwbare app, geïdentificeerd door Check Point, deed zich voor als het legitieme open source-protocol WalletConnect om nietsvermoedende gebruikers te misleiden om de app te downloaden.
“Valse recensies en consistente branding hebben ertoe bijgedragen dat de app meer dan 10.000 downloads heeft behaald door hoog te scoren in de zoekresultaten”, aldus het cyberbeveiligingsbedrijf in een analyse. Het is de eerste keer dat een cryptovaluta-drainer zich exclusief richt op gebruikers van mobiele apparaten.
Er wordt geschat dat meer dan 150 gebruikers het slachtoffer zijn geworden van de zwendel, hoewel aangenomen wordt dat niet alle gebruikers die de app hebben gedownload, getroffen zijn door de cryptocurrency-drainer.
De campagne omvatte de distributie van een misleidende app met verschillende namen, zoals ‘Mestox Calculator’, ‘WalletConnect – DeFi & NFTs’ en ‘WalletConnect – Airdrop Wallet’ (co.median.android.rxqnqb).
Hoewel de app niet langer beschikbaar is om te downloaden via de officiële app-marktplaats, blijkt uit gegevens van SensorTower dat deze populair was in Nigeria, Portugal en Oekraïne, en gekoppeld was aan een ontwikkelaar genaamd UNS LIS.
De ontwikkelaar is ook in verband gebracht met een andere Android-app genaamd “Uniswap DeFI” (com.lis.uniswapconverter) die tussen mei en juni 2023 ongeveer een maand actief bleef in de Play Store. Het is momenteel niet bekend of de app schadelijke functionaliteit had. .
Beide apps kunnen echter worden gedownload via appstore-bronnen van derden, wat nogmaals de risico’s benadrukt die het downloaden van APK-bestanden van andere marktplaatsen met zich meebrengt.
Eenmaal geïnstalleerd, is de nep-WallConnect-app ontworpen om gebruikers door te sturen naar een nep-website op basis van hun IP-adres en User-Agent-string, en als dat zo is, ze een tweede keer door te sturen naar een andere site die Web3Inbox nabootst.
Gebruikers die niet aan de vereiste criteria voldoen, inclusief degenen die de URL bezoeken vanuit een desktopwebbrowser, worden naar een legitieme website geleid om detectie te omzeilen, waardoor de bedreigingsactoren effectief het app-beoordelingsproces in de Play Store kunnen omzeilen.
Naast het nemen van stappen om analyse en foutopsporing te voorkomen, is het kernbestanddeel van de malware een cryptocurrency-drainer, bekend als MS Drainer, die gebruikers ertoe aanzet hun portemonnee aan te sluiten en verschillende transacties te ondertekenen om hun portemonnee te verifiëren.
De informatie die het slachtoffer bij elke stap invoert, wordt verzonden naar een command-and-control-server (cakeserver(.)online) die op zijn beurt een antwoord terugstuurt met instructies om kwaadaardige transacties op het apparaat te activeren en het geld over te maken naar een portemonnee-adres van de aanvallers.
“Net als bij de diefstal van native cryptocurrency, verleidt de kwaadaardige app de gebruiker eerst om een transactie in zijn portemonnee te ondertekenen”, aldus Check Point-onderzoekers.
“Via deze transactie geeft het slachtoffer toestemming aan het adres van de aanvaller 0xf721d710e7C27323CC0AeE847bA01147b0fb8dBF (het veld ‘Adres’ in de configuratie) om het maximale bedrag van het opgegeven activum over te dragen (indien toegestaan door het slimme contract).”
In de volgende stap worden de tokens uit de portemonnee van het slachtoffer overgebracht naar een andere portemonnee (0xfac247a19Cc49dbA87130336d3fd8dc8b6b944e1) die wordt beheerd door de aanvallers.
Dit betekent ook dat als het slachtoffer de toestemming om tokens uit zijn portemonnee te halen niet intrekt, de aanvallers de digitale activa kunnen blijven intrekken zodra ze verschijnen, zonder dat verdere actie nodig is.
Check Point zei dat het ook een andere kwaadaardige app had geïdentificeerd die vergelijkbare functies vertoonde, “Walletconnect | Web3Inbox” (co.median.android.kaebpq), die eerder beschikbaar was in de Google Play Store in februari 2024. De app werd meer dan 5.000 keer gedownload.
“Dit incident benadrukt de toenemende verfijning van de tactieken van cybercriminelen, vooral op het gebied van gedecentraliseerde financiën, waar gebruikers vaak afhankelijk zijn van tools en protocollen van derden om hun digitale activa te beheren”, aldus het bedrijf.
“De kwaadaardige app vertrouwde niet op traditionele aanvalsvectoren zoals machtigingen of keylogging. In plaats daarvan gebruikte het slimme contracten en deep links om stilletjes activa af te tappen zodra gebruikers werden misleid om de app te gebruiken.”