Découverte d’une application malveillante sur le Google Play Store
Des chercheurs en cybersécurité ont récemment identifié une application Android malveillante sur le Google Play Store qui a permis aux cybercriminels derrière elle de voler environ 70 000 dollars de crypto-monnaie à des victimes sur une période de près de cinq mois. Cette application frauduleuse, repérée par Check Point, se faisait passer pour le protocole open source légitime WalletConnect dans le but de tromper les utilisateurs. Grâce à de fausses critiques et à un branding constant, l’application a réussi à atteindre plus de 10 000 téléchargements en se positionnant en tête des résultats de recherche. Il s’agit de la première fois qu’un dispositif de dratainage de crypto-monnaie vise exclusivement les utilisateurs de dispositifs mobiles.
Une campagne d’escroquerie bien orchestrée
Plus de 150 utilisateurs sont estimés être tombés dans le piège de cette escroquerie, bien que tous les utilisateurs ayant téléchargé l’application n’aient pas forcément été touchés par le dispositif de dratainage de crypto-monnaie. La campagne impliquait la distribution d’une application trompeuse portant plusieurs noms tels que « Mestox Calculator », « WalletConnect – DeFi & NFTs » et « WalletConnect – Airdrop Wallet ». Bien que cette application ne soit plus disponible en téléchargement sur la boutique officielle, les données de SensorTower indiquent qu’elle était populaire au Nigeria, au Portugal et en Ukraine, et était liée à un développeur nommé UNS LIS.
Les risques liés au téléchargement d’applications tierces
Les utilisateurs doivent être conscients des risques associés au téléchargement d’APK à partir de sources autres que le Google Play Store. Une fois installée, l’application trompeuse WallConnect redirige les utilisateurs vers un site web frauduleux en fonction de leur adresse IP et de leur User-Agent, puis, le cas échéant, les redirige une deuxième fois vers un autre site imitant Web3Inbox. Pour éviter toute détection, les utilisateurs ne répondant pas aux critères requis sont redirigés vers un site légitime, permettant ainsi aux cybercriminels de contourner le processus d’examen de l’application sur le Play Store. En plus de prendre des mesures pour empêcher l’analyse et le débogage, le composant central du malware est un dispositif de dratainage de crypto-monnaie connu sous le nom de MS Drainer, qui incite les utilisateurs à connecter leur portefeuille et à signer plusieurs transactions pour vérifier leur portefeuille.
Des transactions malveillantes et sophistiquées
Les informations saisies par la victime à chaque étape sont transmises à un serveur de commande et de contrôle qui renvoie des instructions pour déclencher des transactions malveillantes sur le dispositif et transférer les fonds à une adresse de portefeuille appartenant aux attaquants. Si la victime ne révoque pas l’autorisation de retirer des jetons de son portefeuille, les cybercriminels peuvent continuer à retirer les actifs numériques dès qu’ils apparaissent, sans nécessiter d’action supplémentaire de la part de la victime.
Une sophistication croissante des tactiques cybercriminelles
Check Point a également identifié une autre application malveillante présentant des caractéristiques similaires qui était disponible sur le Google Play Store en février 2024. Ce nouvel incident met en lumière la sophistication croissante des tactiques des cybercriminels, en particulier dans le domaine de la finance décentralisée. Ces attaques ne reposent pas sur des vecteurs d’attaque traditionnels mais utilisent des contrats intelligents et des liens profonds pour drainer silencieusement les actifs des utilisateurs une fois qu’ils ont été trompés en utilisant l’application.
Source : thehackernews.com