محققان امنیت سایبری Check Point، یک اپلیکیشن اندرویدی مخرب و جعلی را در فروشگاه گوگل پلی (Google Play) شناسایی کردهاند که حدود 70000 دلار ارز دیجیتال را طی مدت پنج ماه از کاربران آن به سرقت برده است.
این برنامه کریپتو دراینر (استخراج کننده ارز دیجیتال) با تقلید از پروژه قانونی “WalletConnect“، بیش از ده هزار بار در گوگل پلی دانلود شده است.
اپلیکیشن جعلی WallConnect با سوء استفاده از نام برنامه اصلی، به عنوان یک ابزار Web3 با عملکردهای مختلف بلاکچین ظاهر شده است و بصورت یک پروکسی بین کیف پول ارز دیجیتال و برنامههای غیرمتمرکز (dApps) عمل میکند.
برنامه WalletConnect اصلی، یک پروتکل bridge (پل) کریپتو منبع باز است که همین کار را انجام میدهد اما با محدودیتهایی همراه است چرا که همه کیف پولها از آن پشتیبانی نمیکنند.
این حملات شامل توزیع یک برنامه طعمه و فریبنده است که با نامهای مختلفی مانند ” Mestox Calculator”، ” WalletConnect – DeFi & NFTs” و WalletConnect – Airdrop Wallet ظاهر شده است.
برنامه جعلی WalletConnect از ماه مارس در فروشگاه گوگل پلی وجود داشته و رتبه خود را از طریق بررسیهای جعلی کاربران افزایش داده است. از این رو، در صدر جستجوهای گوگل پلی ظاهر گشته است.
دادههای SensorTower حاکی از آن است که WalletConnect در نیجریه، پرتغال و اوکراین محبوب بوده و متعلق به توسعه دهندهای به نام UNS LIS میباشد.
این توسعه دهنده همچنین با یک اپلیکیشن اندرویدی دیگر به نام «Uniswap DeFI» (com.lis.uniswapconverter) مرتبط است که حدود یک ماه، بین ماههای می و ژوئن 2023 در فروشگاه گوگل پلی فعال بوده است. در حال حاضر مشخص نیست که آیا این اپلیکیشن نیز دارای عملکرد مخرب بوده است یا خیر!
اپلیکیشن جعلی WalletConnect پس از نصب، کاربران را به یک وب سایت مخرب هدایت میکند که در آنجا از آنها خواسته میشود چندین تراکنش را مجاز کنند، که همین امر منجر به سرقت اطلاعات حساس کیف پول و داراییهای دیجیتال آنها شده است.
کامپوننت اصلی این کیف پول، یک دراینر ارز دیجیتال به نام MS Drainer است که از کاربران میخواهد کیف پول خود را متصل کرده و چندین تراکنش را برای تأیید کیف پول خود امضا کنند.
اطلاعات وارد شده توسط قربانی در هر مرحله به یک سرور فرماندهی و کنترل (cakeserver[.]online) منتقل میشود که هر کدام پاسخی حاوی دستورالعملهای لازم برای شروع تراکنشهای مخرب بر روی دستگاه و انتقال وجوه به آدرس کیف پول هکرها به دنبال دارند.
اپلیکیشن جعلی WalletConnect، برداشت توکنهایی که ارزش بیشتری دارند را نسبت به سایر توکنها در اولویت قرار میدهد.
به گفته محققان، حداقل 150 کاربر، قربانی این کلاهبرداری شدهاند و بیش از 70000 دلار دارایی دیجیتال خود را از دست دادهاند. با این حال، تنها 20 نفر از آنها در گوگل پلی نظرات منفی ثبت کردهاند.
با توجه به تفاوت بین تعداد قربانیان و دانلودها، این امکان وجود دارد که کلاهبرداران به طور جعلی تعداد دانلودها را افزایش داده باشند. پس از گزارش محققان Check Point، اپلیکیشن جعلی WalletConnect از فروشگاه اندروید حذف گردید.
Check Point یک اپلیکیشن مخرب دیگر را نیز شناسایی کرده است که دارای ویژگیهای مشابه (Walletconnect | Web3Inbox” (co.median.android.kaebpq” میباشد که در فوریه 2024 در فروشگاه گوگل پلی در دسترس بوده و بیش از 5000 بار دانلود شده است.
این رویدادهای امنیتی، حاکی از پیچیدگی رو به رشد تاکتیکهای جرایم سایبری به ویژه در حوزه مالی غیرمتمرکز است، جایی که کاربران اغلب برای مدیریت داراییهای دیجیتال خود به ابزارها و پروتکلهای شخص ثالث متکی هستند.
کاربران باید هنگام اتصال کیف پول ارز دیجیتال خود به یک پلتفرم یا سرویس، دقت بیشتری داشته باشند و قبل از تأیید هر تراکنش/قرارداد هوشمند، آن را به طور کامل بررسی کنند.
اگرچه گوگل پلی مکانیزمهای دفاعی خود را دارد که برنامههای دارای کد مخرب را مسدود میکند، اما برخی از اپلیکیشنها همچنان میتوانند راهکارهای امنیتی را دور بزنند و وارد فروشگاه شوند، به خصوص زمانی که فعالیت کلاهبرداری شامل کد مخرب نمیشود، بلکه به تغییر مسیرها به پلتفرمها و سرویسهای مختلف متکی است.
