Check Point Research (CPR) tarafından hazırlanan bir rapor, Google Play Store’da popüler WalletConnect uygulaması kılığına giren bir kripto cüzdanı boşaltma uygulamasını ortaya çıkardı. CPR, uygulamanın beş ay boyunca şüphelenmeyen kullanıcılardan 70.000 $ (yaklaşık 58,6 lakh rupi) çalmak için “gelişmiş kaçırma teknikleri” kullandığını tespit etti. JavaScript kodunun analizinden sonra “MS Drainer” adını alan kötü amaçlı uygulama, giderek daha karmaşık hale gelen kripto dolandırıcılığı eğiliminin bir parçası. Son FBI raporları ayrıca siber suçluların küresel saldırıları gerçekleştirmede daha etkili hale geldiği konusunda uyarıyor.
“Check Point Research (CPR), Google Play Store’da, bir zararlının yalnızca mobil cihaz kullanıcılarını hedef aldığı ilk seferi işaretleyerek kripto para birimini çalmak için tasarlanmış kötü amaçlı bir uygulamayı ortaya çıkardı. Saldırganlar, Web3 uygulamaları için meşru bir araç gibi görünmek amacıyla, kripto cüzdanlarını merkezi olmayan uygulamalara bağlayan WalletConnect protokolünün güvenilir adından yararlandı.” rapor dedi.
Artık kaldırılan kripto cüzdan uygulaması 10.000’den fazla indirme sayısına ulaşmayı başardı. Sahte platform, CPR raporunun ‘sahte’ olarak işaretlediği çok sayıda yorum nedeniyle Google Play Store’da ‘WalletConnect’ aramasında ilk sırada yer aldı.
WalletConnect nedir?
WalletConnect, merkezi olmayan uygulamaları (dApp’ler) QR kodları aracılığıyla kripto cüzdanlara bağlayan ve kullanıcıların özel anahtarlarını açığa çıkarmadan blockchain tabanlı uygulamalarla etkileşime girmesine olanak tanıyan açık kaynaklı bir protokoldür.
Check Point Research’e (CPR) göre, Median.co web hizmeti kullanılarak WalletConnect’in görünümünü ve işlevlerini taklit eden sahte bir uygulama oluşturuldu. Başlangıçta “Mestox Calculator” olarak adlandırılan uygulama, 21 Mart 2024’te Google Play Store’da yayınlandı ve o tarihten bu yana adı birkaç kez değiştirildi.
“Deneyimsiz bir kullanıcı, bunun indirilip kurulması gereken ayrı bir cüzdan uygulaması olduğu sonucuna varabilir. Raporda, saldırganların kullanıcıların uygulama mağazasında bir WalletConnect uygulaması arayacağını umarak bu karışıklığı ortadan kaldırdığı belirtildi.
WalletConnect’in X kolu, gelişmeyi takipçilerine bir notla bildirdi.
WalletConnect Vakfı, kötü niyetli kişilerin WalletConnect adını kullanan ve Google Play Store’da bulunan kötü amaçlı bir uygulama geliştirdiği yakın tarihli bir dolandırıcılığın farkındadır. Uygulama Google Play Store’dan kaldırıldı. Vakıf herkese şunu hatırlatır ki…
— WalletConnect (@WalletConnect) 29 Eylül 2024
WalletConnet’in Kötü Amaçlı Dupe’u Nasıl Çalıştı?
Sahte uygulama indirildikten sonra hızla kullanıcılardan kripto cüzdanlarını bağlamalarını istedi. Kullanıcılar cüzdan düğmelerine tıkladıklarında, derin bir bağlantı aracılığıyla kötü amaçlı bir web sitesine yönlendirildiler. Web sitesi, cüzdanlarını doğrulamak için kullanıcılardan art arda birden fazla işlemi onaylamalarını istedi ve bilmeden dolandırıcılık faaliyetlerine izin verdi.
“Kullanıcıların bu kötü amaçlı uygulamayı, cüzdanlarını MetaMask, Binance Wallet veya Trust Wallet gibi cüzdanlara doğrudan bağlantıyı desteklemeyen ancak yalnızca WalletConnect protokolünü kullanan Web3 uygulamalarına bağlamak için yüklediklerini varsayıyoruz. Muhtemelen indirilen WalletConnect uygulamasının bir tür proxy görevi görmesini bekliyorlar. Bu nedenle bağlantı isteği şüpheli görünmüyor” diye açıkladı rapor.
CPR, raporunda, bunun gibi olayların, şu anda değeri 2,27 trilyon dolar (kabaca 1,90,20,364 crore) olan kripto sektörünü hedeflemek için kullanılan tekniklerin ileri doğasını vurguladığını söyledi. Web sitesi, kullanıcıların indirdikleri uygulamalara karşı yasal görünseler bile dikkatli ve dikkatli olmalarını şiddetle tavsiye etti.
2023’te bir Sophos raporu, kripto dolandırıcılarının yapay zeka araçlarını kullanarak Android sistemlerde kurban avladığını belirtiyordu. Kripto para dolandırıcılarının, dolandırıcılık web sitelerini tanıtmak için Google Arama’daki reklamlardan yararlandıkları da belirlendi.