Исследователи Check Point Research выяснили, что мошенники имитировали бренд и функциональность настоящего протокола с открытым исходным кодом WalletConnect. Когда пользователи подключали свои криптокошельки к мошенническому приложению, вредоносная программа запрашивала у них обширные разрешения, не вызывавшие подозрений из-за интерфейса сервиса, сходного с оригинальным протоколом. Получив необходимое разрешение от пользователей, злоумышленники с легкостью переводили криптовалюты из кошельков жертв на свои адреса.
Для повышения репутации и рейтинга своего приложения в поиске, злоумышленники использовали поддельные отзывы. Изначально приложение называлась Mestox Calculator, и оно уже несколько раз меняло названия. Чтобы оставаться незамеченным в течение нескольких месяцев в магазине Google Play, аферисты использовали передовые методы уклонения.
Приложение направляло пользователей в зависимости от IP-адреса и типа устройства, чтобы доступ к вредоносному бэкэнду мог осуществляться только по определенным сценариям. Для атаки и скрытого выполнения действий использовались смарт-контракты и глубинные ссылки. Это позволяло обходить как автоматические, так и ручные проверки безопасности Google Play, выяснили аналитики.
Фейковое приложение скачали более 10 000 пользователей, и как минимум 150 жертв лишились криптоактивов на общую сумму $70 000. Исследователи Check Point Research призвали пользователей быть бдительными, чтобы не стать жертвами криптомошенников.
Мошеннические приложения в магазине Google Play — не редкость. Несколько лет назад в нем появилось поддельное приложение Trezor Mobile Manager Wallet, где мошенники запрашивали кодовую фразу от криптокошелька. После скачивания подобного приложения, пользователь аппаратного кошелька Trezor лишился 17,1 BTC.