Un crypto drainer nascosto in Google player

Con la crescente popolarità degli asset digitali, aumentano anche i rischi che ne derivano. Nonostante i miglioramenti apportati alla sicurezza dei portafogli di criptovalute e la crescente consapevolezza degli utenti sui pericoli, i criminali informatici continuano a trovare modi sempre più sofisticati per ingannare gli utenti e aggirare le misure di sicurezza. I crypto drainer, malware progettati per rubare le criptovalute, sono diventati un metodo popolare per gli aggressori. Utilizzando siti web e app di phishing che simulano piattaforme di criptovalute legittime, gli aggressori ingannano gli utenti inducendoli ad autorizzare una transazione illegittima, che consente al drainer di eseguire il trasferimento di beni digitali agli autori del reato.

Per la prima volta, queste tattiche malevole si sono estese anche ai dispositivi mobili. Check Point Research (CPR) ha identificato un'applicazione chiamata WalletConnect su Google Play che sfrutta un drainer di criptovalute per rubare i beni degli utenti. Imitando il legittimo protocollo open-source Web3 WalletConnect, l'applicazione malevola, utilizzando tecniche avanzate di social engineering e manipolazione tecnica, ha ingannato gli utenti facendo loro credere che si trattasse di un modo sicuro per trasferire criptovalute. Caricata per la prima volta su Google Play nel marzo 2024, l'app è rimasta inosservata per oltre cinque mesi grazie a tecniche di evasione ed è stata installata oltre 10.000 volte, rubando oltre 70.000 dollari in criptovalute a vittime ignare.

WalletConnect è un protocollo open-source che collega in modo sicuro le applicazioni decentralizzate (dApp) e i portafogli di criptovalute. È stato creato per migliorare l'esperienza dell'utente durante la connessione tra dApp e portafogli di criptovalute. Tuttavia, la connessione con WalletConnect è spesso difficile per diversi motivi: non tutti i portafogli supportano WalletConnect e gli utenti spesso non dispongono della versione più recente. Gli attaccanti hanno abilmente sfruttato le complicazioni di WalletConnect e hanno indotto gli utenti a pensare che esistesse una soluzione semplice: l'app falsificata WalletConnect su Google Play.

Una volta scaricata e lanciata l'applicazione WalletConnect, agli utenti viene chiesto di collegare il proprio portafoglio, presumendo che avrebbe agito come proxy per le applicazioni Web che supportano il protocollo WalletConnect.

Quando l'utente seleziona il pulsante del portafoglio, l'applicazione dannosa attiva il wallet scelto e lo indirizza a un sito Web malevolo. L'utente deve quindi verificare il portafoglio selezionato e gli viene chiesto di autorizzare diverse transazioni.

Ogni azione dell'utente invia messaggi criptati al server di comando e controllo (C&C) e recupera i dettagli sul portafoglio, sulle reti blockchain e sugli indirizzi dell'utente. Un'applicazione sofisticata, che preleva i token più costosi prima di prendere di mira gli altri, eseguendo lo stesso processo su tutte le reti, per prelevare prima i beni di maggior valore della vittima.

Check Point Research ha analizzato l'indirizzo della configurazione dell'applicazione WalletConnect da cui sono stati rubati i fondi. Sono state identificate transazioni di token da oltre 150 indirizzi, il che indica almeno 150 vittime. Le transazioni in uscita dai portafogli degli aggressori sono state pochissime e la maggior parte dei fondi rubati è rimasta nei loro indirizzi attraverso varie reti. Secondo i dati di blockchain explorer, si stima che il valore totale delle attività nei portafogli degli aggressori sia superiore a 70.000 dollari.

Solo venti utenti a cui è stato rubato il denaro hanno lasciato recensioni negative su Google Play, il che suggerisce che ci sono ancora molte vittime che potrebbero essere all'oscuro di ciò che è accaduto al proprio denaro. Quando l'applicazione ha ricevuto tali recensioni negative, gli sviluppatori del malware hanno subdolamente inondato la pagina con false recensioni positive per mascherare le recensioni negative e far apparire l'applicazione legittima, per ingannare altre potenziali vittime. Google Play ha poi rimosso l'applicazione.

Gli aggressori hanno eseguito una sofisticata operazione di sottrazione di criptovalute, combinando ingegneria sociale e manipolazione tecnica. Hanno sfruttato il nome di fiducia “WalletConnect” e hanno approfittato della confusione degli utenti nel collegare applicazioni Web3 e portafogli di criptovalute, ottenendo un significativo accumulo di criptovalute senza destare immediati sospetti.

Questo incidente sottolinea la crescente sofisticazione delle tattiche dei criminali informatici, soprattutto nel settore della finanza decentralizzata, dove gli utenti dipendono spesso da strumenti e protocolli di terze parti per gestire i propri beni digitali. L'efficacia dell'app malevola è ulteriormente rafforzata dalla sua capacità di evitare il rilevamento attraverso reindirizzamenti e tecniche di controllo dell'agente utente. Gli strumenti convenzionali come Google Search, Shodan e i controlli automatici spesso non riescono a identificare tali minacce, poiché dipendono da dati visibili e accessibili che queste app oscurano intenzionalmente. Ciò rende quasi impossibile il rilevamento da parte dei sistemi automatici e delle ricerche manuali.