Google Play 商店中列出的一款应用程序以 web3 用户为目标,其名称听起来非常像一个真正的开源协议的标题,该协议用于连接区块链和钱包上的去中心化应用程序。由安全研究人员 Check Point Research (CPR) 发现,该应用程序名为 WalletConnect,攻击者将其与合法的 WalletConnect 协议混淆。该应用程序的图块图像恰好是真正的 WalletConnect 协议的徽标。
攻击者知道他们要攻击的是谁,因为该应用程序将虚假应用程序作为解决 WalletConnect 协议现实问题的一种方式进行营销,例如后者缺乏广泛使用的加密钱包对该协议的普遍支持。由于真正的 WalletConnect 开源协议在 Play 商店中没有官方应用程序,因此有超过 10,000 人安装了该应用程序,这肯定就像从婴儿手中夺走糖果一样。
Fke评论提高了该应用程序的评级,并淹没了受害者的负面评论。 |图像信用-Check Point Research
虽然被该应用程序盗取的人数远不及安装该应用程序的 10,000 多名 Android 用户,但 CPR 发现有超过 150 个地址链接到经过验证的交易,这表明这就是被盗的人数。被骗局蒙蔽。安装该应用程序后,系统会提示新订阅者将他或她的加密货币钱包(可能装有加密货币)链接到用户认为可以信任的应用程序。
欺诈性应用程序的 Google Play 商店列表。 |图像信用-Check Point Research
通过将加密钱包与应用程序链接,用户将可以安全地访问受支持的 web3 应用程序。 Web3 是基于区块链技术构建的网络的新迭代,由用户社区控制。安装该应用程序后,用户被要求选择一个据称支持 WalletConnect 协议的新加密钱包。此时,受害者被要求授权各种交易,同时也被发送到恶意网站。
在 Google Play 中搜索 WalletConnect 会在列表顶部显示该虚假应用程序。 |图像信用-Check Point Research
该恶意网站记录了有关受害者钱包的所有信息。使用智能合约,攻击者能够将受害者钱包中的代币转移到自己的钱包中,甚至可以将更有价值的加密货币转移给自己,而不是价值较低的加密货币。据 CPR 称,这是“加密货币流失者”首次专门针对移动设备用户。
“Google Play Protect 自动保护 Android 用户免受该恶意软件的已知版本的侵害,该功能在具有 Google Play 服务的 Android 设备上默认处于开启状态。Google Play Protect 可以警告用户或阻止已知表现出恶意行为的应用程序,即使这些应用程序出现时也是如此。来自 Play 以外的来源。”-Google 发言人
有趣的是,只有 20 名受害者决定在 Play 商店中撰写有关该应用程序的负面评论。这使得骗局背后的坏人能够发布大量正面评论,数量超过了负面评论。该应用程序于 3 月份推出,但在被谷歌从 Play 商店中删除之前被允许保留五个月,但在此之前,那些选择从 Play 商店安装 WalletConnect 的人窃取了 7 万美元的加密货币。如果您确实安装了该应用程序,请立即卸载。