Siber güvenlik araştırmacıları, Google Play Store’da, arkasındaki tehdit aktörlerinin yaklaşık beş aylık bir süre içinde kurbanlardan yaklaşık 70.000 ABD doları tutarında kripto para birimi çalmasını sağlayan kötü amaçlı bir Android uygulaması keşfetti.
Check Point tarafından tanımlanan tehlikeli uygulama, şüphelenmeyen kullanıcıları onu indirmeye ikna etmek için meşru WalletConnect açık kaynak protokolü kılığına girdi.
Siber güvenlik şirketi bir analizde, “Sahte incelemeler ve tutarlı markalama, uygulamanın arama sonuçlarında üst sıralarda yer alarak 10.000’den fazla indirme elde etmesine yardımcı oldu” dedi ve ilk kez bir kripto para birimi emicinin özel olarak mobil cihaz kullanıcılarını hedef aldığını ekledi.
150’den fazla kullanıcının dolandırıcılığın kurbanı olduğu tahmin ediliyor, ancak uygulamayı indiren tüm kullanıcıların kripto para birimi boşaltıcısından etkilenmediğine inanılıyor.
Kampanya, “Mestox Calculator”, “WalletConnect – DeFi & NFTs” ve “WalletConnect – Airdrop Wallet” (co.median.android.rxqnqb) gibi çeşitli adlarla anılan aldatıcı bir uygulamanın dağıtımını içeriyordu.
Uygulama artık resmi uygulama pazarından indirilemese de, SensorTower’dan gelen veriler uygulamanın Nijerya, Portekiz ve Ukrayna’da popüler olduğunu ve UNS LIS adlı bir geliştiriciyle bağlantılı olduğunu gösteriyor.
Geliştiricinin ayrıca Mayıs ve Haziran 2023 arasında yaklaşık bir ay boyunca Play Store’da aktif kalan “Uniswap DeFI” (com.lis.uniswapconverter) adlı başka bir Android uygulamasıyla da ilişkilendirildiği belirtildi. Uygulamanın herhangi bir kötü amaçlı işlevselliğe sahip olup olmadığı şu anda bilinmiyor. .
Ancak her iki uygulamanın da üçüncü taraf uygulama mağazası kaynaklarından indirilebilmesi, APK dosyalarının diğer pazar yerlerinden indirilmesinin yarattığı riskleri bir kez daha vurguluyor.
Sahte WallConnect uygulaması yüklendikten sonra kullanıcıları IP adreslerine ve Kullanıcı Aracısı dizesine göre sahte bir web sitesine yönlendirmek ve eğer öyleyse onları ikinci kez Web3Inbox’ı taklit eden başka bir siteye yönlendirmek için tasarlanmıştır.
URL’yi bir masaüstü web tarayıcısından ziyaret edenler de dahil olmak üzere, gerekli kriterleri karşılamayan kullanıcılar, tespit edilmekten kaçınmak için meşru bir web sitesine yönlendirilir ve bu, tehdit aktörlerinin Play Store’daki uygulama inceleme sürecini etkili bir şekilde atlamasına olanak tanır.
Kötü amaçlı yazılımın temel bileşeni, analiz ve hata ayıklamayı önlemek için atılan adımların yanı sıra, MS Drainer olarak bilinen ve kullanıcıları cüzdanlarını bağlamaya ve cüzdanlarını doğrulamak için çeşitli işlemleri imzalamaya yönlendiren bir kripto para birimi boşaltıcısıdır.
Mağdurun her adımda girdiği bilgiler bir komuta ve kontrol sunucusuna (cakeserver) iletilir.[.]çevrimiçi), bu da cihazda kötü amaçlı işlemleri tetiklemek ve fonları saldırganlara ait bir cüzdan adresine aktarmak için talimatlar içeren bir yanıt gönderir.
Check Point araştırmacıları, “Yerel kripto para biriminin çalınmasına benzer şekilde, kötü amaçlı uygulama öncelikle kullanıcıyı cüzdanında bir işlem imzalaması için kandırıyor” dedi.
“Bu işlem aracılığıyla kurban, saldırganın 0xf721d710e7C27323CC0AeE847bA01147b0fb8dBF adresine (yapılandırmadaki ‘Adres’ alanı) belirtilen varlığın maksimum miktarını (akıllı sözleşmesi tarafından izin veriliyorsa) aktarma izni verir.”
Bir sonraki adımda kurbanın cüzdanındaki tokenler, saldırganlar tarafından kontrol edilen farklı bir cüzdana (0xfac247a19Cc49dbA87130336d3fd8dc8b6b944e1) aktarılıyor.
Bu aynı zamanda, mağdurun cüzdanından token çekme iznini iptal etmemesi durumunda saldırganların, dijital varlıkları ortaya çıktıkları anda herhangi bir başka eyleme gerek kalmadan geri çekmeye devam edebilecekleri anlamına da geliyor.
Check Point, daha önce Şubat 2024’te Google Play Store’da mevcut olan “Walletconnect | Web3Inbox” (co.median.android.kaebpq) benzer özellikler sergileyen başka bir kötü amaçlı uygulama da tespit ettiğini söyledi. Uygulama 5.000’den fazla indirildi.
Şirket, “Bu olay, özellikle kullanıcıların dijital varlıklarını yönetmek için genellikle üçüncü taraf araçlara ve protokollere güvendiği merkezi olmayan finans alanında, siber suç taktiklerinin artan karmaşıklığını vurguluyor” dedi.
“Kötü amaçlı uygulama, izinler veya tuş kaydı gibi geleneksel saldırı vektörlerine dayanmıyordu. Bunun yerine, kullanıcılar uygulamayı kullanmaları için kandırıldığında varlıkları sessizce boşaltmak için akıllı sözleşmeler ve derin bağlantılar kullandı.”