Uma pesquisa da empresa de segurança Check Point Research revelou um golpe envolvendo um aplicativo malicioso disponível na Google Play Store.
O software, que permaneceu na loja por mais de cinco meses, conseguiu roubar mais de US$ 70 mil de usuários de criptomoedas. O aplicativo se disfarçava como o legítimo WalletConnect, enganando mais de 150 vítimas.
Golpe disfarçado de aplicativo legítimo
O aplicativo fraudulento, disfarçado como WalletConnect, utilizava técnicas avançadas de evasão para enganar os usuários e permanecer na Google Play Store por um longo período. Lançado em março de 2024 sob o nome ‘Mestox Calculator’, o aplicativo parecia inofensivo, exibindo uma interface de calculadora quando inspecionado.
No entanto, ele redirecionava os usuários para um software de drenagem de carteiras criptográficas chamado MS Drainer, dependendo do endereço IP e do dispositivo móvel utilizado.
‘O aplicativo recupera o valor de todos os ativos nas carteiras da vítima. Primeiro, ele tenta sacar os tokens mais caros, seguidos pelos mais baratos’, escreveu a Check Point Research.
A estratégia para manter o aplicativo ativo envolvia a mudança constante de nomes e o uso de revisões falsas para melhorar seu ranqueamento nas pesquisas da Google Play. O aplicativo malicioso conseguiu atingir mais de 10 mil downloads antes de ser detectado e removido pela loja de aplicativos.
Como o golpe funcionava
Assim como outras fraudes que drenam carteiras de criptomoedas, o falso WalletConnect solicitava que os usuários conectassem suas carteiras, uma prática comum em aplicativos DeFi legítimos.
No entanto, ao aceitar as permissões solicitadas, os usuários concediam ao aplicativo permissão para transferir grandes quantidades de ativos para a conta dos golpistas. A Check Point Research observou que o aplicativo começava retirando os tokens mais valiosos da carteira da vítima, seguido pelos ativos de menor valor.
O uso de contratos inteligentes e links profundos foi o diferencial desse ataque, evitando métodos mais tradicionais de ataque, como a coleta de dados via keylogging. O caso ilustra a crescente sofisticação dos cibercriminosos e ressalta a importância de verificar a autenticidade dos aplicativos antes de baixá-los, mesmo aqueles disponíveis em lojas oficiais como a Google Play.
