Peneliti keamanan siber telah menemukan aplikasi Android berbahaya di Google Play Store yang memungkinkan pelaku ancaman di baliknya mencuri sekitar $70,000 mata uang kripto dari korbannya selama hampir lima bulan.
Aplikasi cerdik tersebut, yang diidentifikasi oleh Check Point, menyamar sebagai protokol sumber terbuka WalletConnect yang sah untuk mengelabui pengguna yang tidak menaruh curiga agar mengunduhnya.
“Ulasan palsu dan pencitraan merek yang konsisten membantu aplikasi mencapai lebih dari 10.000 unduhan dengan peringkat tinggi dalam hasil pencarian,” kata perusahaan keamanan siber tersebut dalam sebuah analisis, seraya menambahkan bahwa ini adalah pertama kalinya penguras mata uang kripto secara eksklusif menargetkan pengguna perangkat seluler.
Lebih dari 150 pengguna diperkirakan telah menjadi korban penipuan ini, meskipun diyakini bahwa tidak semua pengguna yang mengunduh aplikasi tersebut terkena dampak dari penguras cryptocurrency.
Kampanye tersebut melibatkan pendistribusian aplikasi penipuan dengan beberapa nama seperti “Mestox Kalkulator”, “WalletConnect – DeFi & NFTs”, dan “WalletConnect – Airdrop Wallet” (co.median.android.rxqnqb).
Meskipun aplikasi ini tidak lagi tersedia untuk diunduh dari pasar aplikasi resmi, data dari SensorTower menunjukkan bahwa aplikasi tersebut populer di Nigeria, Portugal, dan Ukraina, dan ditautkan ke pengembang bernama UNS LIS.
Pengembang juga telah dikaitkan dengan aplikasi Android lain bernama “Uniswap DeFI” (com.lis.uniswapconverter) yang tetap aktif di Play Store selama sekitar satu bulan antara Mei dan Juni 2023. Saat ini tidak diketahui apakah aplikasi tersebut memiliki fungsi berbahaya. .
Namun, kedua aplikasi tersebut dapat diunduh dari sumber toko aplikasi pihak ketiga, sekali lagi menyoroti risiko yang ditimbulkan dengan mengunduh file APK dari pasar lain.
Setelah dipasang, aplikasi WallConnect palsu dirancang untuk mengarahkan pengguna ke situs web palsu berdasarkan alamat IP dan string Agen-Pengguna, dan jika demikian, arahkan mereka untuk kedua kalinya ke situs lain yang meniru Web3Inbox.
Pengguna yang tidak memenuhi kriteria yang disyaratkan, termasuk mereka yang mengunjungi URL dari browser web desktop, akan diarahkan ke situs web yang sah untuk menghindari deteksi, sehingga secara efektif memungkinkan pelaku ancaman untuk melewati proses peninjauan aplikasi di Play Store.
Selain mengambil langkah-langkah untuk mencegah analisis dan debugging, komponen inti dari malware ini adalah penguras mata uang kripto yang dikenal sebagai MS Drainer, yang meminta pengguna untuk menghubungkan dompet mereka dan menandatangani beberapa transaksi untuk memverifikasi dompet mereka.
Informasi yang dimasukkan oleh korban pada setiap langkah dikirimkan ke server perintah dan kontrol (cakeserver[.]online) yang, pada gilirannya, mengirimkan kembali respons yang berisi instruksi untuk memicu transaksi berbahaya pada perangkat dan mentransfer dana ke alamat dompet milik penyerang.
“Mirip dengan pencurian mata uang kripto asli, aplikasi jahat ini pertama-tama menipu pengguna agar menandatangani transaksi di dompet mereka,” kata peneliti Check Point.
“Melalui transaksi ini, korban memberikan izin kepada alamat penyerang 0xf721d710e7C27323CC0AeE847bA01147b0fb8dBF (bidang 'Alamat' dalam konfigurasi) untuk mentransfer jumlah maksimum aset yang ditentukan (jika diizinkan oleh kontrak pintarnya).”
Pada langkah selanjutnya, token dari dompet korban ditransfer ke dompet lain (0xfac247a19Cc49dbA87130336d3fd8dc8b6b944e1) yang dikendalikan oleh penyerang.
Ini juga berarti bahwa jika korban tidak mencabut izin untuk menarik token dari dompetnya, penyerang dapat terus menarik aset digital segera setelah aset tersebut muncul tanpa memerlukan tindakan lebih lanjut.
Check Point mengatakan pihaknya juga mengidentifikasi aplikasi jahat lain yang menunjukkan fitur serupa “Walletconnect | Web3Inbox” (co.median.android.kaebpq) yang sebelumnya tersedia di Google Play Store pada Februari 2024. Aplikasi ini menarik lebih dari 5.000 unduhan.
“Insiden ini menyoroti semakin canggihnya taktik kejahatan dunia maya, khususnya di bidang keuangan terdesentralisasi, di mana pengguna sering kali mengandalkan alat dan protokol pihak ketiga untuk mengelola aset digital mereka,” kata perusahaan tersebut.
“Aplikasi jahat ini tidak bergantung pada vektor serangan tradisional seperti izin atau keylogging. Sebaliknya, aplikasi ini menggunakan kontrak pintar dan tautan dalam untuk menguras aset secara diam-diam begitu pengguna ditipu untuk menggunakan aplikasi tersebut.”