تم الكشف عن تطبيق ضار لسرقة العملات المشفرة على Google Play
تم اكتشاف تطبيق على Google Play يسرق العملات المشفرة من المستخدمين، باستخدام هندسة اجتماعية متقدمة وبروتوكولات موثوقة. كشفت شركة Check Point Research عن التطبيق بعد أن استولت على 70 ألف دولار، وخدعت أكثر من 150 ضحية. استخدم المهاجمون بروتوكول Walletconnect للظهور بشكل شرعي، والتلاعب بتصنيفات بحث Google وتجنب الكشف من خلال تقنيات التشفير والتعتيم.
تطبيق ضار على Google Play يسرق العملات المشفرة باستخدام بروتوكول Walletconnect
شاركت شركة الأمن السيبراني Check Point Research (CPR) يوم الخميس أنها “اكتشفت تطبيقًا ضارًا على Google Play مصممًا لسرقة العملات المشفرة، وهي المرة الأولى التي يستهدف فيها أحد أدوات الاستنزاف مستخدمي الأجهزة المحمولة حصريًا. “
استغل التطبيق، الذي ظل نشطًا لمدة خمسة أشهر تقريبًا، بروتوكول Walletconnect الموثوق به وخدع المستخدمين من خلال العلامات التجارية المزيفة وأساليب الهندسة الاجتماعية. أوضحت شركة الأمن السيبراني أنه قبل إزالة التطبيق من Google Play:
وتمكنت من إيذاء أكثر من 150 مستخدمًا، مما أدى إلى خسائر تجاوزت 70 ألف دولار.
استخدم المهاجمون اسم Walletconnect ليبدو شرعيًا، حيث حققوا أكثر من 10000 عملية تنزيل من خلال التلاعب بتصنيفات البحث واستخدام التقييمات المزيفة. وفقًا لـ CPR، لعبت “الهندسة الاجتماعية المتقدمة” دورًا حاسمًا في خداع المستخدمين لتنزيل التطبيق وربط محافظ العملات المشفرة الخاصة بهم. وبمجرد تفاعل المستخدمين مع التطبيق، فإنه يدفعهم إلى التوقيع على معاملات ضارة، مما يسمح للمهاجمين باستنزاف أصولهم الرقمية بصمت.
وذكر التقرير أنه “لم يتأثر جميع المستخدمين الذين قاموا بتنزيل المُجفف”، مضيفًا:
لم يكمل البعض اتصال المحفظة، وتعرف البعض الآخر على نشاط مشبوه وقاموا بتأمين أصولهم، وربما لم يستوف البعض الآخر معايير الاستهداف المحددة للبرامج الضارة.
وكشف المزيد من التحليل الذي أجراه CPR أن التطبيق تجنب الكشف باستخدام تقنيات التشويش المتطورة وأساليب مكافحة التحليل، حتى أنه تجاوز عمليات التحقق الأمنية في Google Play. استخدم المهاجمون أساليب إعادة التوجيه والتشفير المتقدمة لإخفاء نواياهم الحقيقية. اعتمد التطبيق بشكل كبير على البرامج النصية الضارة الخارجية، مما أدى إلى تعقيد عملية الكشف والسماح للمهاجمين بالبقاء مخفيين. وشددت CPR على أن “هذا الحادث يسلط الضوء على التطور المتزايد لتكتيكات المجرمين السيبرانيين”، خاصة في التمويل اللامركزي، حيث يعتمد المستخدمون غالبًا على بروتوكولات الطرف الثالث لإدارة الأصول الرقمية.