Фахівці Check Point виявили в офіційному магазині Google Play фейковий застосунок криптопроєкту WalletConnect, призначений для крадіжки криптовалюти у користувачів. Застосунок був доступний близько п’яти місяців і за цей час встиг набрати понад 10 000 завантажень.

Шкідливий застосунок використовував назву WallConnect і видавав себе за Web3-інструмент, який нібито можна використовувати як проксі між криптовалютними гаманцями та децентралізованими застосунками (dApps). Справжній проєкт WalletConnect – це опенсорсний протокол криптомосту, який призначений саме для цього, хоча і з деякими обмеженнями, оскільки його підтримують не всі гаманці.

Так, після встановлення WallConnect скеровував користувачів на шкідливий сайт, що імітував Web3Inbox, де їм пропонувалося авторизувати кілька транзакцій, що призводило до крадіжки конфіденційної інформації про їхні криптовалютні гаманці та цифрові активи.

При цьому, якщо користувачі перебували в певних країнах (визначається за IP-адресою) і якщо User-Agent HTTP-запиту не збігався з User-Agent мобільного пристрою, жертв перенаправляли на легітимний ресурс.

Вивчивши код самої малварі, дослідники ідентифікували її як MS Drainer. Вона являє собою один з найбільш просунутих шкідливих інструментаріїв для розкрадання криптовалюти, серед усіх доступних наразі на чорному ринку. Шкідник підтримує широкий спектр блокчейнів EVM, включно з Ethereum, BNB Smart Chain, Polygon, Avalanche, Arbitrum, Fantom і Optimism.

Відмінною рисою MS Drainer є його можливості з виявлення активів. Малварь використовує для сканування гаманців користувачів на предмет цінних активів надійних постачальників, таких як DeBank, Ankr, Zapper і OpenSea. Потім MS Drainer автоматично вилучає ці активи. Причому дослідники Check Point зазначають, що насамперед малварь виводить дорожчі токени і тільки після цього краде менш цінні.

За п’ять місяців, поки додаток був доступний в офіційному магазині для Android, кількість його завантажень досягла 10 000. Аналітики пишуть, що щонайменше 150 жертв постраждали від WallConnect і втратили цифрові активи на загальну суму понад 70 000 доларів у криптовалюті. При цьому тільки 20 осіб залишили негативні відгуки про застосунок у магазині Google Play.

З огляду на різницю між кількістю жертв і кількістю завантажень WallConnect, дослідники вважають, що оператори шкідника могли штучно завищити кількість завантажень програми.

Наразі фальшивий WallConnect уже видалено з Google Play Store.