Check Point Research ha svelato un crypto drainer che punta al portafoglio di criptovalute su Google Play con l’obiettivo di rubarle e mira esclusivamente agli utenti di dispositivi mobili. Con la crescente popolarità degli asset digitali, aumentano anche i rischi che ne derivano. Nonostante i miglioramenti alla sicurezza dei portafogli di criptovalute e la consapevolezza degli utenti sui pericoli, i criminali trovano modi sempre più sofisticati per ingannare gli utenti e aggirare le misure di sicurezza.
L’applicazione WalletConnect
I crypto drainer, malware progettati per rubare le criptovalute, sono diventati un metodo popolare per gli aggressori. Utilizzando siti web e app di phishing che simulano piattaforme di criptovalute legittime, gli aggressori ingannano gli utenti inducendoli ad autorizzare una transazione illegittima. Questo consente al drainer di eseguire il trasferimento di beni digitali agli autori del reato. Per la prima volta, queste tattiche malevole si sono estese anche ai dispositivi mobili. Check Point Research (CPR) ha identificato l’applicazione WalletConnect su Google Play che sfrutta un drainer di criptovalute per rubare i beni degli utenti.
Il modus operandi
Imitando il legittimo protocollo open-source Web3 WalletConnect, l’app malevola, utilizzando tecniche di social engineering e manipolazione tecnica, ha ingannato gli utenti facendo credere che si trattasse di un modo sicuro per trasferire criptovalute. Caricata per la prima volta su Google Play nel marzo 2024, l’app è rimasta inosservata per oltre cinque mesi grazie a tecniche di evasione. WalletConnect è un protocollo open-source che collega in modo sicuro le applicazioni decentralizzate (dApp) e i portafogli di criptovalute.
Il crypto drainer su Google Play
È stato creato per migliorare l’esperienza dell’utente durante la connessione tra dApp e portafogli di criptovalute. Tuttavia, la connessione con WalletConnect è spesso difficile per diversi motivi: non tutti i portafogli supportano WalletConnect e gli utenti spesso non dispongono della versione più recente. Gli attaccanti hanno abilmente sfruttato le complicazioni di WalletConnect e hanno indotto gli utenti a pensare che esistesse una soluzione semplice: l’app falsificata WalletConnect su Google Play. Una volta scaricata e lanciata l’applicazione WalletConnect, agli utenti viene chiesto di collegare il proprio portafoglio, presumendo che avrebbe agito come proxy per le applicazioni Web3 che supportano il protocollo WalletConnect.
In primis i token più costosi
Quando l’utente seleziona il pulsante del portafoglio, l’applicazione dannosa attiva il wallet scelto e lo indirizza a un sito Web malevolo. L’utente deve quindi verificare il portafoglio selezionato e gli viene chiesto di autorizzare diverse transazioni. Ogni azione dell’utente invia messaggi criptati al server di comando e controllo (C&C) e recupera i dettagli sul portafoglio, sulle reti blockchain e sugli indirizzi dell’utente. Un’applicazione sofisticata, che preleva i token più costosi prima di prendere di mira gli altri, eseguendo lo stesso processo su tutte le reti, per prelevare prima i beni di maggior valore della vittima.
Check Point Research ha svelato un crypto drainer – Furti per oltre 70.000 dollari
Check Point Research ha analizzato l’indirizzo della configurazione dell’applicazione WalletConnect da cui sono stati rubati i fondi. Sono state identificate transazioni di token da oltre 150 indirizzi, il che indica almeno 150 vittime. Le transazioni in uscita dai portafogli degli aggressori sono state pochissime e la maggior parte dei fondi rubati è rimasta nei loro indirizzi attraverso varie reti. Secondo i dati di blockchain explorer, si stima che il valore totale delle attività nei portafogli degli aggressori sia superiore a 70.000 dollari.
Un’operazione sofisticata
Solo venti utenti a cui è stato rubato il denaro hanno lasciato recensioni negative su Google Play. Il che suggerisce che ci sono ancora molte vittime che potrebbero essere all’oscuro di ciò che è accaduto al proprio denaro. Quando l’applicazione ha ricevuto queste recensioni negative, gli sviluppatori del malware hanno subdolamente inondato la pagina con false recensioni positive.
Il crypto drainer su Google Play che deruba il portafoglio di criptovalute
Questo per mascherare le recensioni negative e far apparire l’applicazione legittima, per ingannare altre potenziali vittime. Google Play ha poi rimosso l’applicazione. Gli aggressori hanno eseguito una sofisticata operazione di sottrazione di criptovalute, combinando ingegneria sociale e manipolazione tecnica. Hanno sfruttato il nome di fiducia “WalletConnect” e hanno approfittato della confusione degli utenti nel collegare applicazioni Web3 e portafogli di criptovalute, ottenendo un significativo accumulo di criptovalute senza destare immediati sospetti.
Il settore della finanza
Questo incidente sottolinea la crescente sofisticazione delle tattiche dei criminali informatici. In particolare nel settore della finanza decentralizzata, dove gli utenti dipendono spesso da strumenti e protocolli di terze parti per gestire i propri beni digitali. L’efficacia dell’app malevola è ulteriormente rafforzata dalla sua capacità di evitare il rilevamento attraverso reindirizzamenti e tecniche di controllo dell’agente utente. Gli strumenti convenzionali come Google Search, Shodan e i controlli automatici spesso non riescono a identificare tali minacce. Questo perché dipendono da dati visibili e accessibili che queste app oscurano intenzionalmente. Ciò rende quasi impossibile il rilevamento da parte dei sistemi automatici e delle ricerche manuali.
Protezione dal malware
Check Point Harmony protegge completamente i clienti da queste minacce. Harmony Mobile Protection protegge i dispositivi, controllando tutte le applicazioni e impedendo il download di quelle dannose in tempo reale. Per quanto riguarda i siti web malevoli, Harmony Brows previene le minacce con il filtraggio degli URL, bloccando l’accesso ai siti di phishing, come il sito illegittimo di WalletConnect. L’analisi dell’Intelligenza Artificiale e la protezione contro il phishing zero-day impediscono agli utenti di interagire con questi siti, bloccando i trasferimenti non autorizzati. Come ulteriore livello di difesa, le sue funzionalità anti-malware– come sandboxing e Threat Emulation –, rilevano e bloccano il malware o il codice dannoso nei download da questi siti web.
