A Check Point Research (CPR), divisão de inteligência em ameaças da Check Point Software, descobriu um novo aplicativo malicioso na loja Google Play projetado para roubar criptomoedas, resultando em perdas de US$ 70 mil. Foi a primeira vez que um dreno desse tipo tem como alvo exclusivamente os usuários de dispositivos móveis.
De acordo com os especialistas, o aplicativo falso utilizou técnicas modernas de evasão para evitar a detecção e permaneceu disponível por quase cinco meses antes de ser removido da loja.
Os pesquisadores da CPR explicam que houve o uso de engenharia social avançada nesse aplicativo fazendo-o passar por uma ferramenta legítima para aplicativos Web3.
Os atacantes exploraram o nome confiável do protocolo WalletConnect, que conecta carteiras de criptomoedas a aplicativos descentralizados, o que levou ao roubo de cerca de US$ 70 mil em criptomoedas das vítimas. As avaliações falsas positivas e o uso de um kit de ferramentas de drenagem de criptomoedas de última geração ajudaram o aplicativo a alcançar mais de 10 mil downloads.
“Este incidente é um grande alerta a toda a comunidade de ativos digitais, pois o surgimento do primeiro aplicativo de drenagem de criptomoedas para dispositivos móveis no Google Play marca uma escalada significativa nas táticas usadas por criminosos cibernéticos e o cenário em rápida evolução de ameaças cibernéticas em finanças descentralizadas”, afirma Alexander Chailytko, gerente de segurança cibernética, pesquisa e inovação da Check Point Software.
Neste cenário, Chailytko reforça a necessidade crítica de soluções de segurança avançadas e orientadas por inteligência artificial (IA) que possam detectar e prevenir tais ameaças sofisticadas. “É essencial que usuários e desenvolvedores permaneçam informados e tomem medidas proativas para proteger seus ativos digitais.”
Crescem os riscos aos ativos digitais
Apesar das melhorias na segurança de carteiras de criptomoedas e da crescente conscientização dos usuários sobre os perigos cibernéticos, os cibercriminosos continuam encontrando maneiras cada vez mais sofisticadas de enganar as pessoas e contornar as medidas de segurança.
Os drenadores de criptomoedas, que são malwares projetados para roubar esses ativos digitais, tornaram-se um método popular para os atacantes. Eles usam sites de phishing e aplicativos que imitam plataformas legítimas de criptomoedas, e os atacantes enganam os usuários para que autorizem uma transação ilegítima, permitindo que o drenador execute a transferência dos ativos digitais para os criminosos.
Tática de engenharia social em aplicativos
O WalletConnect é um protocolo de código aberto que conecta de forma segura aplicativos descentralizados (dApps) e carteiras de criptomoedas. Ele foi criado para melhorar a experiência do usuário ao conectar dApps com carteiras de criptomoedas.
Leia Também
No entanto, a conexão com o WalletConnect muitas vezes é difícil por várias razões. Nem todas as carteiras suportam o WalletConnect, e os usuários frequentemente não possuem a versão mais recente. De forma astuta, os atacantes exploraram a complexidade do WalletConnect e enganaram os usuários, fazendo-os acreditar que havia uma solução fácil: o falso aplicativo WalletConnect no Google Play.
Depois que os usuários baixaram e iniciaram o aplicativo malicioso WalletConnect, eles foram solicitados a conectar suas carteiras, presumindo que elas atuariam como um proxy para aplicativos Web3 que suportam o protocolo WalletConnect
Quando o usuário seleciona o botão da carteira, o aplicativo malicioso ativa a carteira escolhida e a direciona para um site malicioso. Os usuários, então, precisam verificar a carteira selecionada e são solicitados a autorizar várias transações.
Cada ação do usuário envia mensagens criptografadas para o servidor de Comando e Controle (C&C) e recupera detalhes sobre a carteira do usuário, redes blockchain e endereços. Um aplicativo sofisticado retirava primeiro os tokens mais caros, antes de direcionar-se para os de menor valor, repetindo o processo em todas as redes para retirar os ativos mais valiosos da vítima inicialmente.
Vítimas desavisadas de ataques
A Check Point Research analisou o endereço de configuração do aplicativo WalletConnect de onde os fundos foram roubados. Transações de tokens de mais de 150 endereços foram identificadas, indicando pelo menos 150 vítimas.
Houve poucas transações saindo das carteiras dos atacantes, com a maioria dos fundos roubados permanecendo em suas contas em várias redes. De acordo com dados de exploradores de blockchain, o valor total dos ativos nas carteiras dos atacantes é estimado em mais de US$ 70 mil.
Apenas 20 usuários que tiveram seu dinheiro roubado deixaram avaliações negativas no Google Play, sugerindo que ainda existem muitas vítimas que talvez não saibam o que aconteceu com seu dinheiro.
Quando o aplicativo recebeu essas críticas negativas, os desenvolvedores do malware astutamente inundaram a página com avaliações falsas positivas para mascarar as negativas, fazendo o aplicativo parecer legítimo e enganando outras potenciais vítimas. Desde então, o Google Play removeu o aplicativo.
- Com Staking de Solana, você pode ganhar até 4,45% ao ano* + a valorização do ativo no longo prazo. Tenha renda passiva em cripto e receba recompensas a cada 3 dias. Abra sua conta no MB e comece já! *Consulte condições.
