Aplicativo Crypto Wallet Drainer identificado na Google Play Store, relatório sugere roubo de US$ 70.000

Um relatório da Check Point Research (CPR) expôs um aplicativo de drenagem de carteira de criptomoeda na Google Play Store, disfarçado como o popular aplicativo WalletConnect. A CPR descobriu que o aplicativo usou “técnicas avançadas de evasão de roubo” para roubar US$ 70.000 (cerca de Rs 58,6 lakh) de usuários inocentes durante um período de cinco meses. O aplicativo malicioso, denominado “MS Drainer” após análise de seu código JavaScript, faz parte de uma tendência crescente de fraudes cada vez mais sofisticadas com criptomoedas. Relatórios recentes do FBI também alertam que os cibercriminosos se tornaram mais eficazes na realização de ataques globais.

“A Check Point Research (CPR) descobriu um aplicativo malicioso na Google Play Store projetado para roubar criptomoedas, marcando a primeira vez que uma ferramenta de drenagem tem como alvo exclusivo usuários de dispositivos móveis. Para se passar por uma ferramenta legítima para aplicativos Web3, os invasores usaram o nome confiável do protocolo WalletConnect, que conecta carteiras criptografadas a aplicativos descentralizados”, o relatório afirmou.

O aplicativo de carteira de criptomoedas, que já foi retirado do ar, acumulou mais de 10.000 downloads. A plataforma falsa apareceu junto com as pesquisas da Google Play Store por “WalletConnect” devido a vários comentários que foram marcados como “falsos” no relatório CPR.

O que é WallConnect

WalletConnect é um protocolo de código aberto que conecta aplicativos descentralizados (dApps) a carteiras de criptomoedas por meio de códigos QR, permitindo que os usuários interajam com aplicativos baseados em blockchain sem revelar suas chaves privadas.

De acordo com a Check Point Research (CPR), um aplicativo falso que imita a aparência e a funcionalidade do WalletConnect foi criado usando o site Median.co. O aplicativo, inicialmente denominado “Calculadora Mestox”, foi publicado na Google Play Store em 21 de março de 2024, e seu nome mudou diversas vezes desde então.

“Um usuário inexperiente pode concluir que este é um aplicativo de carteira separado que precisa ser baixado e instalado. “Os invasores sequestram a confusão, esperando que os usuários procurem o aplicativo WalletConnect na app store”, observou o relatório.

O dono do X WalletConnect confirmou o desenvolvimento em nota aos seus seguidores.

Como funcionava o idiota malicioso da WalletConnet

Depois de baixado, o aplicativo falso rapidamente solicitava que os usuários conectassem suas carteiras de criptomoedas. Quando os usuários clicavam nos botões da carteira, eram redirecionados para um site malicioso por meio de um link direto. Para verificar suas carteiras, o site pedia aos usuários que aprovassem múltiplas transações sequencialmente, autorizando, sem saber, atividades fraudulentas.

“Presumimos que os usuários instalam este aplicativo malicioso para conectar suas carteiras a aplicativos Web3 que não suportam conexões diretas com carteiras como MetaMask, Binance Wallet ou Trust Wallet, mas usam apenas o protocolo WalletConnect. Eles provavelmente esperam que o aplicativo WalletConnect que baixaram atue como uma espécie de proxy. Portanto, a solicitação de conexão não parece suspeita”, explica o relatório.

A CPR, em seu relatório, disse que tais incidentes destacam a natureza avançada das técnicas usadas para atacar o setor criptográfico, que está atualmente avaliado em US$ 2,27 trilhões (aproximadamente Rs. 1,90,20,364 crore). O site sugere fortemente que os usuários sejam vigilantes e cautelosos com os aplicativos baixados, mesmo que pareçam legítimos.

Um relatório da Sophos de 2023 descobriu que golpistas de criptomoeda tinham como alvo vítimas em sistemas Android usando ferramentas de inteligência artificial. Descobriu-se também que golpistas de criptomoeda usam anúncios de pesquisa do Google para promover sites fraudulentos.