Neppe WalletConnect-app treft meer dan 150 slachtoffers
Foto: valiantsin suprunovich/Shutterstock
Een app die grote bedragen aan crypto heeft gestolen, is ontdekt op de Google Play Store. Deze wallet-drainer-app wist in vijf maanden meer dan $70.000 te stelen van slachtoffers, volgens IT-beveiligingsbedrijf Check Point Research. De malware deed zich voor als WalletConnect, een populair Web3-protocol, en misleidde gebruikers om transacties goed te keuren. Zo kregen scammers toegang tot hun fondsen.
Neppe app steelt tienduizenden dollars
De ontwikkelaars van de app hadden verschillende trucs om onopgemerkt te werk te gaan. Zo is de app meerdere malen van naam veranderd. De app begon onder de naam “Mestox Calculator” en verwees in eerste instantie naar een onschuldige calculator-website. Dit hielp de ontwikkelaars de Google Play-beoordelingsprocessen te omzeilen, omdat geautomatiseerde en handmatige controles slechts de onschadelijke calculator zagen.
Volgens Check Point Research was dit schandaal de eerste die uitsluitend gericht was op mobiele gebruikers. Gebruikers met bepaalde IP-adressen of die een mobiele telefoon gebruikten, werden doorgestuurd naar de back-end die het wallet-drainer-programma “MS Drainer” onderbracht.
De app, die op 21 maart 2024 beschikbaar werd gesteld, kreeg dankzij valse reviews en consistente branding meer dan 10.000 downloads, wat leidde tot aanzienlijke schade voor meer dan 150 gebruikers. Niet iedereen die de app downloadde was echter getroffen; sommigen herkenden de scam op tijd of verbonden hun wallet niet. Anderen voldeden mogelijk niet aan de specifieke targetingcriteria van de malware.
Slimme technieken om crypto-wallets te plunderen
De echte WalletConnect stelt gebruikers in staat veilig te communiceren tussen hun cryptocurrency wallets en gedecentraliseerde applicaties (dApps) via QR-codes. Dit maakt het mogelijk om transacties goed te keuren zonder dat privé-sleutels worden blootgesteld.
De neppe app maakte hier misbruik van door gebruikers naar een frauduleuze website te leiden waar ze werden gevraagd om hun wallets te koppelen en verschillende machtigingen te accepteren. Deze machtigingen gaven de aanvallers toegang om de wallet volledig leeg te trekken. De app begon met de duurste tokens in de wallets van de slachtoffers en werkte vervolgens door naar de goedkopere munten.
Check Point Research stelt dat deze zaak laat zien hoe de technieken van cybercriminelen steeds slimmer worden. In plaats van traditionele aanvalsmethoden zoals keylogging, gebruikte de app slimme contracten en deep links om assets weg te sluizen zodra gebruikers de app vertrouwden. Google heeft de app inmiddels verwijderd maar heeft nergens commentaar gegeven op het incident.
