I ricercatori di Check Point hanno scoperto un’applicazione dannosa su Google Play progettata per rubare criptovalute.
Sfruttando il nome del noto protocollo Web3, WalletConnect, l’app è riuscita a creare un’illusione di legittimità. Inoltre, utilizzando tecniche avanzate di evasione, è rimasta non rilevata per oltre cinque mesi ed è stata scaricata più di 10.000 volte.
Fonte: Check Point Research (CPR).
Indice degli argomenti
Il meccanismo della truffa
L’applicazione fraudolenta imitava WalletConnect, un protocollo open source utilizzato per connettere portafogli di criptovalute alle applicazioni decentralizzate.
Il legittimo protocollo WalletConnect è stato sviluppato per semplificare la connessione di applicazioni decentralizzate con i portafogli crittografici. Tuttavia, come spiegato dai ricercatori, gli utenti lo trovano ancora poco pratico perché non tutti i portafogli lo supportano. In pratica gli attaccanti hanno sfruttato queste complicazioni propinando su Google Play una presunta versione più semplice e versatile.
In questo modo gli utenti, credendo di utilizzare un’app legittima, inserivano le proprie credenziali di accesso che venivano poi rubate dai truffatori. Questo permetteva ai malintenzionati di drenare i fondi dai portafogli delle vittime senza che queste se ne accorgessero.
Fonte: Check Point Research (CPR).
Quando le vittime scaricavano la versione dannosa, l’MS Drainer installato furtivamente chiedeva loro di connettere il proprio portafoglio crittografico, verificare il portafoglio selezionato e autorizzare le transazioni.
Tutte le informazioni immesse dalla vittima in ogni passaggio venivano così trasmesse a un server C2 che attivava transazioni dannose sul dispositivo trasferendo i fondi verso un indirizzo wallet appartenente agli attaccanti.
“MS Drainer è un toolkit dannoso altamente avanzato che rappresenta uno dei drainer più sofisticati attualmente disponibili sul mercato.”, spiegano i ricercatori. “Supporta un’ampia gamma di blockchain EVM, tra cui Ethereum, BNB Smart Chain, Polygon, Avalanche, Arbitrum, Fantom e Optimism. Il drainer eccelle nelle sue capacità di scoperta di asset. Utilizza provider affidabili come DeBank, Ankr, Zapper o OpenSea per scansionare i portafogli degli utenti alla ricerca di asset di valore come monete primarie, token ERC-20 e NFT. Una volta identificati, il drainer preleva automaticamente questi asset, dando priorità a quelli più preziosi e ottimizzando il processo di transazione per ridurre al minimo le commissioni”.
Fonte: Check Point Research (CPR).
Tecniche di evasione
Per rimanere non rilevata, l’app utilizzava diverse tecniche avanzate di evasione. Tra queste, la capacità di nascondere il suo vero scopo attraverso un codice offuscato e l’uso di server remoti per aggiornare le funzionalità malevole.
Questo ha permesso agli sviluppatori di adattare l’app per mantenerla operativa nonostante i tentativi di rilevamento e rimozione.
Per superare il processo di verifica di Google Play sono state anche utilizzate false recensioni positive.
Fonte: Check Point Research (CPR).
Conseguenze e possibili mitigazioni
L’app è stata scaricata oltre 10.000 volte, causando perdite significative per gli utenti colpiti. La scoperta di CPR ha portato comunque alla rimozione dell’app da Google Play sebbene Check Point abbia affermato di aver già identificato in passato sullo store di Google anche un’altra app con caratteristiche simili (Walletconnect | Web3Inbox) che avrebbe attirato più di 5.000 download.
Questo studio dimostra come i truffatori stiano diventando sempre più sofisticati nell’uso di tecniche di ingegneria sociale e manipolazione tecnica per ingannare gli utenti. È essenziale che gli utenti di criptovalute siano consapevoli dei rischi e adottino misure preventive per proteggere i loro asset digitali.
Pertanto, proteggersi dalle truffe di criptovalute è fondamentale per salvaguardare i propri investimenti. Ecco alcuni consigli utili da seguire per ridurre significativamente il rischio di cadere vittima di truffe legate alle criptovalute:
- Scaricare solo app da fonti ufficiali e controllare le recensioni e le valutazioni prima di procedere.
- Conservare le proprie criptovalute in portafogli hardware, che sono offline e quindi meno vulnerabili agli attacchi.
- Utilizzare password complesse cambiandole regolarmente per rendere più difficile l’accesso ai truffatori.
- Abilitare l’autenticazione a due fattori per aggiungere un ulteriore livello di sicurezza, quando possibile.
- Prima di investire in qualsiasi progetto o piattaforma, informarsi adeguatamente confrontando le opinioni su più siti autorevoli.
- Non cliccare su link sospetti o fornire informazioni personali in risposta a e-mail non richieste.
Nel rapporto pubblicato dai ricercatori si legge ancora: “Check Point Research ha analizzato l’indirizzo dalla configurazione dell’app WalletConnect da cui sono stati rubati i fondi. Sono state identificate transazioni token da oltre 150 indirizzi, indicando almeno 150 vittime. Ci sono state pochissime transazioni in uscita dai wallet degli aggressori, con la maggior parte dei fondi rubati rimasti nei loro indirizzi su varie reti. Secondo i dati di Blockchain Explorer, si stima che il valore totale degli asset nei wallet degli aggressori superi i 70.000 $”.
