Um aplicativo malicioso de drenagem de criptomoedas, que imitava o legítimo projeto 'WalletConnect', foi distribuído pela Google Play durante cinco meses e obteve mais de 10.000 downloads.
O aplicativo mal-intencionado, chamado WallConnect, se passava por uma ferramenta Web3 leve com diversas funcionalidades blockchain, oferecendo agir como um proxy entre carteiras de criptomoedas e aplicações descentralizadas (dApps).
O verdadeiro WalletConnect é um protocolo bridge de cripto de código aberto que faz a mesma coisa, mas vem com algumas limitações, pois nem todas as carteiras o suportam.
O app falso estava disponível no Google Play desde março e aumentou seu ranking por meio de avaliações de usuários falsos, estendendo assim a visibilidade a mais vítimas em potencial.
Uma vez instalado, o aplicativo direcionava os usuários para um site malicioso onde lhes era solicitado a autorizar várias transações, o que resultava no roubo de informações sensíveis da carteira e dos ativos digitais.
Pesquisadores da Check Point analisaram o aplicativo e disseram que ele priorizava a retirada de tokens mais caros antes de roubar itens de menor valor.
Nos cinco meses em que esteve disponível na loja oficial Android, a contagem de downloads do aplicativo impostor WalletConnect alcançou 10.000.
Os analistas relataram que pelo menos 150 vítimas caíram no golpe e perderam ativos digitais que excedem $70.000.
No entanto, apenas 20 delas deixaram avaliações negativas no Google Play.
Dada a diferença entre o número de vítimas e os downloads, é possível que os fraudadores também tenham inflado artificialmente a contagem de downloads.
Os pesquisadores da Check Point relataram o aplicativo falso ao Google e ele foi removido da loja Android.
Os usuários devem ter mais cuidado ao vincular carteiras de criptomoedas a uma plataforma ou serviço e verificar cuidadosamente qualquer transação/contrato inteligente antes de aprová-lo.
Embora o Google Play tenha seus mecanismos de defesa que bloqueiam aplicativos com código malicioso, alguns deles ainda podem ser disponibilizados na loja, especialmente quando a atividade fraudulenta não envolve código malicioso, mas depende de redirecionamentos para várias plataformas e serviços.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...