Istraživači sajber bezbjednosti iz tima Check Point Research (CPR) otkrili su malver sakriven u popularnoj aplikaciji na Google Play-u, WallConnect, koja je korišćena za krađu oko 70.000 dolara u kriptovalutama. Ova zlonamjerna aplikacija je imala preko 10.000 preuzimanja prije nego što ju je Google uklonio sa Play prodavnice.
Aplikacija, koja je bila dostupna od marta 2024. godine, ciljala je nesumnjive korisnike kriptovaluta, predstavljajući se kao rješenje za povezivanje decentralizovanih aplikacija (dApps) sa njihovim kripto novčanicima.
Lažna aplikacija WalletConnect iskorišćavala ranjivosti
Legitimni WalletConnect alat omogućava korisnicima povezivanje njihovih kripto novčanika sa dApps-ovima, ali ne podržavaju svi novčanici ovu funkciju. Napadači su iskoristili ovu ograničenost i prevarili korisnike da preuzmu lažnu aplikaciju WallConnect sa Google Play-a, predstavljajući je kao lakše rješenje.
Nakon što bi žrtve instalirale lažnu aplikaciju, bile su usmjerene na zlonamjerni web-sajt i traženo im je da povežu svoj kripto novčanik.
„Korisnicima je potom rečeno da verifikuju svoj novčanik i odobre nekoliko transakcija“, objasnili su istraživači iz CPR-a. Ove radnje korisnika slale su enkriptovane poruke na komandni i kontrolni server (C&C), gdje su detalji o korisnikovom novčaniku, blokčejn mrežama i povezanim adresama bili zabilježeni.
Malver je prioritetno krao kriptovalute visoke vrijednosti, prije nego što bi se prebacio na ostale tokene.
Široko rasprostranjena prevara i lažne recenzije
Samo 20 korisnika kojima su ukradena sredstva ostavilo je negativne recenzije na Google Play-u, što navodi istraživače da vjeruju da mnoge žrtve još nisu svjesne napada. CPR procjenjuje da je prevareno najmanje 150 korisnika, sa ukupnim gubicima većim od 70.000 dolara. Zbog velike razlike između broja žrtava i preuzimanja aplikacije, istraživači sumnjaju da je broj preuzimanja aplikacije vještački povećan.
Da bi prikrili prevaru, developeri su preplavili stranicu aplikacije lažnim pozitivnim recenzijama, kako bi potisnuli negativne komentare i učinili da aplikacija izgleda legitimno, obmanjujući nove potencijalne žrtve.
Uklanjanje maliciozne aplikacije iz Google Play prodavnice
Nakon što je CPR prijavio prevarantsku aplikaciju Google-u, zlonamjerna WallConnect aplikacija brzo je uklonjena sa Google Play prodavnice. Ipak, ovaj incident naglašava stalne rizike od preuzimanja lažnih aplikacija koje uspijevaju da zaobiđu Google-ove bezbjednosne mehanizme.
Kako zaštititi svoje kriptovalute od zlonamjernih aplikacija:
- Uvijek provjerite autentičnost aplikacija: Obavezno dvaput provjerite legitimnost aplikacija povezanih sa kriptovalutama prije nego što ih preuzmete sa Play prodavnice.
- Budite oprezni pri povezivanju novčanika: Kada povezujete svoj kripto novčanik sa aplikacijama trećih strana ili dApps-ovima, osigurajte da je platforma provjerena i pouzdana.
- Pažljivo pregledajte transakcije: Temeljno provjerite sve transakcije i odobrenja prije nego što ih potvrdite, kako biste spriječili neovlašćeni pristup vašim sredstvima.
- Pratite recenzije aplikacija: Budite oprezni sa aplikacijama koje imaju neuobičajenu mješavinu previše pozitivnih i negativnih recenzija, što može ukazivati na prevaru.
Iako Google Play koristi napredne odbrambene mehanizme, neke aplikacije koje sadrže zlonamjerne preusmjeravanja i dalje mogu proći neotkrivene, što čini oprez korisnika ključnim.
(IT mixer)
