Siber suçlular, odak noktalarını mobil cihazlara kaydırarak, beş aydan fazla bir süre boyunca tespit edilmeyen ve 10.000 kez indirilen, meşru WalletConnect protokolü olarak gizlenen kötü amaçlı bir kripto drenaj uygulamasıyla kullanıcıları hedef aldı ve kullanıcıları aldatmak için iyi bilinen Web3 protokolünün adını kullandı. .
Uygulama, Google Play’den kaldırılmasına rağmen 150’den fazla kullanıcıyı mağdur etti ve bunun sonucunda 70.000 doları aşan kayıplar yaşandı. Check Point, bu durumun, kripto para birimi kullanıcılarını hedef alan siber saldırıların artan karmaşıklığını ve dijital varlıkların korunmasında dikkatli olmanın önemini vurguladığını ortaya çıkardı.
DApp’ler ve kripto cüzdanlar arasında bir köprü olan WalletConnect, kullanıcıların kafa karışıklığı nedeniyle istismar edilebilir. Eski cüzdanlar veya desteklenmeyen bağlantılar WalletConnect’in ayrı bir cüzdan uygulaması olarak görünmesine neden olabilir.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Kayıt
Saldırganlar, olumlu sahte incelemelere sahip sahte bir “WalletConnect” uygulamasını uygulama mağazası aramalarının en üstüne yerleştirerek bundan yararlanıyor. Bu uygulamayı indirmeleri için kandırılan kullanıcılar, kripto varlıklarını hırsızlığa maruz bırakıyor.
Google Play’de hesap makinesi görünümüne bürünmüş ve Median’ı kötüye kullanan kötü amaçlı bir uygulama bulundu[.]co’nun bir web sarmalayıcı uygulaması oluşturma hizmeti.
Uygulama başlangıçta zararsız bir hesap makinesi gösteriyordu ancak kullanıcıları IP ve Kullanıcı Aracısı’na göre yönlendiriyordu; burada yeniden yönlendirme, Google Play’in incelemesini atladı ve sahte bir Web3Inbox arayüzüyle mobil kullanıcıları hedef aldı.
Hata ayıklamayı önleme teknikleriyle karartılan temel kötü amaçlı komut dosyası, harici bir sunucuda bulunuyordu ve bu sahte arayüz aracılığıyla kullanıcının cüzdanıyla etkileşime giriyordu; bu da, uygulamanın kendisi özel izinler gerektirmediği için tespit edilmesini zorlaştırıyordu.
MS Drainer, çok çeşitli EVM blok zincirlerini hedef alan ve 1500 dolara satılan kripto cüzdan süzücü kötü amaçlı yazılımdır. WalletConnect uygulaması görünümüne bürünen bu uygulama, kurbanları kandırarak işlemlerini imzalamaları için kandırarak kripto varlıklarını çalıyor.
Kötü amaçlı yazılım, önce özel bir şifreleme algoritması kullanarak bir C&C sunucusuyla iletişim kurar, ardından kurbanın cüzdan adresini ve ağını alıp değerli varlıkları kontrol eder.
ERC-20/BEP-20 tokenlarını çalmak için “Onayla” ve “TransferFrom” işlevlerinden yararlanır: Kullanıcı, kötü amaçlı bir adres için sonsuz token transferini onaylayarak saldırganın daha sonra cüzdanı boşaltmasına olanak tanır.
Çalınan varlıklar, saldırganın kontrol ettiği güvenli bir adrese gönderilir.
Blockchain üzerinde çalınan fon işlemlerini analiz eden araştırmacılar, kötü amaçlı bir uygulamayla ilişkili 150’den fazla kurban adresi tespit ederken, saldırganlar 70.000 dolardan fazla çalıntı varlık biriktirdi.
Çok sayıda kurban olmasına rağmen yalnızca 20 kişi dolandırıcılığı olumsuz yorumlarla bildirdi.
Check Point’teki araştırmacılar ayrıca, aynı aldatıcı taktikleri uygulayan ve 5.000’den fazla indirme elde eden “WC Calculator” adlı benzer bir uygulamayı kullanan daha önceki bir girişimi de keşfettiler.
Kötü amaçlı uygulama, WalletConnect’in itibarını kullanarak kullanıcıları Google Play’den yüklemeye ikna etti.
Saldırganlar, sosyal mühendislik ve teknik manipülasyondan yararlanarak 150’den fazla kurbanın kripto para birimini başarıyla ele geçirdi.
Tespitten kaçınmak için yönlendirmeler ve kullanıcı aracısı kontrolü kullandı, tanımlamayı ve kaldırmayı zorlaştırdı; bu da, kullanıcıları merkezi olmayan finans ortamındaki bu tür karmaşık siber saldırılardan korumak için daha fazla dikkat ve daha güçlü doğrulama süreçlerine olan ihtiyacın altını çiziyor.
ANY.RUN’un Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin: Ücretsiz Deneyin