كشف تقرير صادر عن Check Point Research (CPR) عن تطبيق يستنزف محفظة العملات المشفرة على متجر Google Play، ويتنكر في شكل تطبيق WalletConnect الشهير. وجد CPR أن التطبيق استخدم “تقنيات التهرب المتقدمة” لسرقة 70 ألف دولار (حوالي 58.6 ألف روبية) على مدى خمسة أشهر من المستخدمين المطمئنين. يعد التطبيق الضار، المسمى “MS Drainer” بعد تحليل كود JavaScript الخاص به، جزءًا من اتجاه متزايد لعمليات احتيال العملات المشفرة المتطورة بشكل متزايد. وتحذر تقارير مكتب التحقيقات الفيدرالي الأخيرة أيضًا من أن مجرمي الإنترنت أصبحوا أكثر كفاءة في تنفيذ الهجمات العالمية.
“كشفت شركة Check Point Research (CPR) عن تطبيق ضار على متجر Google Play مصمم لسرقة العملات المشفرة، وهي المرة الأولى التي يستهدف فيها أحد أدوات التصريف مستخدمي الأجهزة المحمولة حصريًا. ومن أجل الظهور كأداة مشروعة لتطبيقات Web3، استغل المهاجمون الاسم الموثوق به لبروتوكول WalletConnect، الذي يربط محافظ العملات المشفرة بالتطبيقات اللامركزية. قال التقرير.
تمكن تطبيق محفظة العملات المشفرة، الذي تمت إزالته الآن، من جمع أكثر من 10000 عملية تنزيل. ظهرت المنصة المزيفة على رأس البحث على متجر Google Play عند البحث عن “WalletConnect” بسبب المراجعات المتعددة التي وصفها تقرير CPR بأنها “مزيفة”.
ما هو WalletConnect
WalletConnect هو بروتوكول مفتوح المصدر يربط التطبيقات اللامركزية (dApps) بمحافظ العملات المشفرة من خلال رموز QR، مما يسمح للمستخدمين بالتفاعل مع التطبيقات المستندة إلى blockchain دون الكشف عن مفاتيحهم الخاصة.
وفقًا لـ Check Point Research (CPR)، تم إنشاء تطبيق مزيف يحاكي مظهر WalletConnect ووظائفه باستخدام خدمة الويب Median.co. تم نشر التطبيق، الذي كان يسمى في البداية “Mestox Calculator”، على متجر Google Play في 21 مارس 2024، مع تغيير اسمه عدة مرات منذ ذلك الحين.
“قد يستنتج مستخدم عديم الخبرة أنه تطبيق محفظة منفصل يحتاج إلى تنزيله وتثبيته. وأشار التقرير إلى أن المهاجمين يستغلون الارتباك، على أمل أن يبحث المستخدمون عن تطبيق WalletConnect في متجر التطبيقات.
اعترف المقبض X الخاص بـ WalletConnect بالتطور في مذكرة لمتابعيه.
تدرك مؤسسة WalletConnect عملية احتيال حديثة حيث قام ممثلون سيئون بتطوير تطبيق ضار يستغل اسم WalletConnect وكان متاحًا على متجر Google Play. تمت إزالة التطبيق من متجر Google Play. تذكر المؤسسة الجميع بأنه لا يوجد…
— WalletConnect (@WalletConnect) 29 سبتمبر 2024
كيف عملت خدعة WalletConnet الخبيثة؟
عند التنزيل، سرعان ما طلب التطبيق المزيف من المستخدمين ربط محافظ العملات المشفرة الخاصة بهم. عندما ينقر المستخدمون على أزرار المحفظة، تتم إعادة توجيههم إلى موقع ويب ضار عبر رابط عميق. وللتحقق من محافظهم، طلب موقع الويب من المستخدمين الموافقة على معاملات متعددة على التوالي، مما سمح دون قصد بنشاط احتيالي.
“نحن نفترض أن المستخدمين يقومون بتثبيت هذا التطبيق الضار لتوصيل محفظتهم بتطبيقات Web3 التي لا تدعم الاتصالات المباشرة بمحافظ مثل MetaMask أو Binance Wallet أو Trust Wallet، ولكنها تستخدم فقط بروتوكول WalletConnect. من المحتمل أنهم يتوقعون أن يعمل تطبيق WalletConnect الذي تم تنزيله كنوع من الوكيل. وأوضح التقرير أن طلب الاتصال لا يبدو مشبوهًا.
قال CPR، في تقريره، إن مثل هذه الحوادث تسلط الضوء على الطبيعة المتقدمة للتقنيات المستخدمة لاستهداف قطاع العملات المشفرة، والذي تقدر قيمته حاليًا بـ 2.27 تريليون دولار (حوالي 1,90,20,364 كرور روبية). ويقترح الموقع بشدة على المستخدمين أن يظلوا يقظين وحذرين من التطبيقات التي يقومون بتنزيلها، حتى عندما تبدو مشروعة.
في عام 2023، ذكر تقرير Sophos أن محتالي العملات المشفرة كانوا يصطادون الضحايا على أنظمة Android باستخدام أدوات الذكاء الاصطناعي. تم التعرف أيضًا على محتالي العملات المشفرة الذين يستغلون الإعلانات على بحث Google للترويج لمواقع الويب الاحتيالية.
