Eine gefälschte WalletConnect-App hat über 150 Opfer getroffen
Foto: valiantsin suprunovich/Shutterstock
Eine App, die erhebliche Mengen an Kryptowährungen gestohlen hat, wurde im Google Play Store entdeckt. Diese sogenannte „wallet-drainer“-App konnte in nur fünf Monaten mehr als 70.000 US-Dollar von Opfern erbeuten, so das IT-Sicherheitsunternehmen Check Point Research. Die Malware gab sich als WalletConnect aus, ein beliebtes Web3-Protokoll, und täuschte Benutzer, damit sie Transaktionen genehmigten, wodurch Betrüger Zugang zu ihren Geldern erhielten.
Gefälschte App stiehlt Zehntausende Dollar
Die Entwickler der App nutzten verschiedene Tricks, um unbemerkt zu bleiben. So änderte die App mehrmals ihren Namen. Sie startete unter dem Namen „Mestox Calculator“ und verwies zunächst auf eine harmlose Taschenrechner-Website. Dies half den Entwicklern, die Überprüfungsprozesse von Google Play zu umgehen, da sowohl automatisierte als auch manuelle Kontrollen nur den harmlosen Taschenrechner erkannten.
Laut Check Point Research war dies der erste Vorfall, der sich ausschließlich gegen mobile Nutzer richtete. Benutzer mit bestimmten IP-Adressen oder die ein Smartphone verwendeten, wurden zu einem Backend weitergeleitet, das das wallet-drainer-Programm „MS Drainer“ beherbergte.
Die App, die am 21. März 2024 verfügbar gemacht wurde, erzielte durch gefälschte Bewertungen und konsequentes Branding über 10.000 Downloads, was bei mehr als 150 Nutzern erheblichen Schaden verursachte. Allerdings war nicht jeder, der die App herunterlud, betroffen; einige erkannten den Betrug rechtzeitig oder verbanden ihre Wallet nicht. Andere fielen möglicherweise nicht unter die spezifischen Zielkriterien der Malware.
Clevere Techniken zum Plündern von Krypto-Wallets
Das echte WalletConnect ermöglicht es Nutzern, sicher zwischen ihren Kryptowallets und dezentralen Anwendungen (dApps) über QR-Codes zu kommunizieren. Dies erlaubt es, Transaktionen zu genehmigen, ohne private Schlüssel offenzulegen.
Die gefälschte App nutzte dies aus, indem sie Benutzer auf eine betrügerische Website leitete, auf der sie aufgefordert wurden, ihre Wallets zu verbinden und verschiedene Berechtigungen zu akzeptieren. Diese Berechtigungen gaben den Angreifern vollen Zugriff, um die Wallet vollständig zu leeren. Die App begann mit den wertvollsten Tokens in den Wallets der Opfer und arbeitete sich dann zu den weniger wertvollen Coins vor.
Immer häufiger berichten wir in den Krypto-Nachrichten über vergleichbare Betrugsfälle. Check Point Research erklärt, dass dieser Fall zeigt, wie raffiniert die Techniken von Cyberkriminellen mittlerweile sind. Anstelle traditioneller Methoden wie Keylogging verwendete die App Smart Contracts und Deep Links, um die Vermögenswerte zu entwenden, sobald die Benutzer der App vertrauten. Google hat die App mittlerweile entfernt, sich jedoch nicht zu dem Vorfall geäußert.
