تخلیه کننده کیف پول کریپتو ماه ها در گوگل پلی بود و 70 هزار دلار سرقت کرد: گزارش

0 خواندن این مطلب 2 دقیقه زمان میبرد

کلاهبرداری از کاربران از طریق اپلیکیشنی در گوگل پلی

به گفته Check Point Research، اپلیکیشن مخرب تخلیه کیف پول، «اولین باری است که تخلیه‌کننده‌ها به طور انحصاری کاربران تلفن همراه را هدف قرار می‌دهند».

شرکت امنیتی IT Check Point Research یک تخلیه کننده کیف پول رمزنگاری شده در فروشگاه گوگل پلی کشف کرده است که از “تکنیک های پیشرفته فرار” برای سرقت بیش از 70000 دلار در مدت پنج ماه استفاده می کرد.

این برنامه مخرب خود را به عنوان پروتکل WalletConnect، یک برنامه شناخته شده در فضای رمزنگاری که می تواند انواع کیف پول های رمزنگاری شده را به برنامه های مالی غیرمتمرکز (DeFi) مرتبط کند، پنهان کرد.

این شرکت امنیتی در یک پست وبلاگی در 26 سپتامبر گفت که “اولین باری است که تخلیه کننده ها منحصراً کاربران تلفن همراه را هدف قرار می دهند.”

این برنامه افزود: «بررسی‌های جعلی و برندسازی ثابت به برنامه کمک کرد تا با رتبه‌بندی بالا در نتایج جستجو، بیش از 10000 بار دانلود کند.»

بیش از 150 کاربر از حدود 70000 دلار کلاهبرداری شدند . همه کاربران برنامه تحت تأثیر قرار نگرفتند، زیرا برخی یا کیف پول را وصل نکردند یا تشخیص دادند که این یک کلاهبرداری است. بررسی‌های چک پوینت گفت که سایرین «ممکن است معیارهای هدف‌گیری خاص بدافزار را برآورده نکرده باشند».

برخی از بررسی‌های جعلی در برنامه جعلی WalletConnect به ویژگی‌هایی اشاره کردند که هیچ ربطی به رمزنگاری نداشتند. منبع: Check Point Research

این برنامه افزود که این برنامه جعلی در 21 مارس در فروشگاه برنامه گوگل در دسترس قرار گرفت و از “تکنیک های پیشرفته فرار” برای ناشناخته ماندن بیش از پنج ماه استفاده کرد، اکنون حذف شده است.

این برنامه ابتدا با نام “ماشین حساب Mestox” منتشر شد و چندین بار تغییر کرد، اگرچه URL برنامه آن هنوز به یک وب سایت به ظاهر بی ضرر با ماشین حساب اشاره می کند.

محققان می‌گویند: «این تکنیک به مهاجمان اجازه می‌دهد تا فرآیند بررسی برنامه را در گوگل پلی پشت سر بگذارند، زیرا بررسی‌های خودکار و دستی برنامه ماشین‌حساب «بی‌ضرر» را بارگیری می‌کند.

بسته به موقعیت آدرس IP کاربر و اگر از دستگاه تلفن همراه استفاده می‌کرد، برخی از آنها به پشتیبان برنامه مخربی که نرم‌افزار تخلیه کیف پول MS Drainer را در خود جای داده بود هدایت شدند.

نموداری از نحوه عملکرد برنامه جعلی WalletConnect برای تخلیه وجوه کاربران خاص. منبع: Check Point Research

مانند سایر کلاهبرداری‌هایی که برای تخلیه کیف پول طراحی شده‌اند، برنامه جعلی کاربران را وادار می‌کند تا کیف پول‌های خود را متصل کنند – درخواستی که با توجه به نحوه عملکرد برنامه قانونی مشکوک به نظر نمی‌رسد.

چک پوینت ریسرچ گفت: سپس از کاربران خواسته شد که مجوزهای مختلفی را برای “تأیید کیف پول خود” بپذیرند، که به آدرس مهاجم اجازه می دهد “حداکثر مقدار دارایی مشخص شده را منتقل کند”.

«این برنامه ارزش تمام دارایی های موجود در کیف پول قربانی را بازیابی می کند. ابتدا سعی می‌کند توکن‌های گران‌تر و سپس توکن‌های ارزان‌تر را برداشت کند.»

چک پوینت ریسرچ نوشت: “این حادثه پیچیدگی رو به رشد تاکتیک های مجرمانه سایبری را برجسته می کند.” برنامه مخرب به بردارهای حمله سنتی مانند مجوزها یا keylogging متکی نبود. در عوض، از قراردادهای هوشمند و پیوندهای عمیق برای تخلیه بی‌صدا دارایی‌ها پس از فریب کاربران برای استفاده از برنامه استفاده کرد.

این سازمان اضافه کرد که کاربران باید “مواظب برنامه هایی که دانلود می کنند، حتی زمانی که قانونی به نظر می رسند” باشند، و فروشگاه های برنامه باید روند تأیید خود را برای توقف برنامه های مخرب بهبود بخشند.

محققان گفتند: «جامعه رمزارز باید به آموزش کاربران در مورد خطرات مرتبط با فناوری‌های وب 3 ادامه دهد. “این مورد نشان می دهد که حتی تعاملات به ظاهر بی ضرر نیز می تواند منجر به زیان های مالی قابل توجهی شود.”