O aplicativo malicioso, chamado WalletConnect, imitava o respeitável protocolo WalletConnect.
Um aplicativo fraudulento de carteira de criptomoedas no Google Play teria roubado US$ 70.000 de usuários em um golpe sofisticado que foi descrito como o primeiro do mundo a ter como alvo exclusivo usuários de dispositivos móveis.
O aplicativo malicioso, chamado WalletConnect, imitava o respeitável protocolo WalletConnect, mas era, na verdade, um esquema sofisticado para drenar carteiras de criptomoedas.
O aplicativo enganoso conseguiu enganar mais de 10.000 usuários para que o baixassem, de acordo com a Check Point Research (CPR) , a empresa de segurança cibernética que descobriu o golpe.
Golpistas comercializam aplicativo fraudulento como solução para problemas da Web3
Os golpistas por trás do aplicativo estavam bem cientes dos desafios típicos enfrentados pelos usuários do web3, como problemas de compatibilidade e a falta de suporte generalizado para o WalletConnect em diferentes carteiras.
Eles habilmente comercializaram o aplicativo fraudulento como uma solução para esses problemas, aproveitando a ausência de um aplicativo oficial do WalletConnect na Play Store.
Somado a uma série de avaliações positivas falsas, o aplicativo parecia legítimo para usuários desavisados.
Embora o aplicativo tenha sido baixado mais de 10.000 vezes, a investigação do CPR identificou transações vinculadas a mais de 150 carteiras de criptomoedas, indicando o número de indivíduos que realmente foram vítimas do golpe.
Uma vez instalado, o aplicativo solicitava que os usuários vinculassem suas carteiras, alegando oferecer acesso seguro e contínuo aos aplicativos web3.
No entanto, quando os usuários autorizaram as transações, eles foram redirecionados para um site malicioso que coletou detalhes de suas carteiras, incluindo a rede blockchain e endereços conhecidos.
Explorando a mecânica dos contratos inteligentes, os invasores conseguiram iniciar transferências não autorizadas, desviando valiosos tokens de criptomoeda das carteiras das vítimas.
O valor total arrecadado com essa operação foi estimado em cerca de US$ 70.000.
Apesar da intenção maliciosa do aplicativo, apenas 20 vítimas deixaram avaliações negativas na Play Store, que foram rapidamente ofuscadas por inúmeras avaliações positivas falsas.
Isso permitiu que o aplicativo permanecesse sem ser detectado por cinco meses até que sua verdadeira natureza fosse exposta e ele fosse removido da plataforma em agosto.
“Este incidente serve como um alerta para toda a comunidade de ativos digitais”, disse Alexander Chailytko, gerente de segurança cibernética, pesquisa e inovação da CPR.
Ele enfatizou a necessidade de soluções de segurança avançadas para evitar ataques tão sofisticados, pedindo que usuários e desenvolvedores tomem medidas proativas para proteger seus ativos digitais.
Google remove versões maliciosas do aplicativo CPR
O Google, em resposta a essas descobertas, declarou que todas as versões maliciosas do aplicativo identificadas pelo CPR foram removidas antes da publicação do relatório.
A gigante da tecnologia destacou que seu recurso Google Play Protect foi projetado para proteger automaticamente os usuários do Android contra ameaças conhecidas, mesmo quando elas vêm de fora da Play Store.
O incidente ocorre após uma campanha recente exposta pela Kaspersky, na qual 11 milhões de usuários do Android baixaram, sem saber, aplicativos infectados com malware Necro, resultando em cobranças de assinaturas não autorizadas.
Em outra tentativa, golpistas de segurança cibernética estão usando respostas de e-mail automatizadas para comprometer sistemas e distribuir malware furtivo de mineração de criptomoedas.
Isso ocorre logo após outra ameaça de malware identificada em agosto.
O “Cthulhu Stealer”, que afeta os sistemas MacOS , também se disfarça como software legítimo e tem como alvo informações pessoais, incluindo senhas MetaMask, endereços IP e chaves privadas de carteiras frias.
Fonte: Cryptonews