一款伪装成合法WalletConnect工具的恶意应用瞄准了Google Play上的移动用户。该应用从毫无戒心的受害者手中窃取了加密资产。了解如何保护自己免受类似诈骗的侵害。

Check Point Research(CPR)在Google Play上发现了有史以来第一款移动加密货币窃取器应用程序，它伪装成合法的WalletConnect工具。该应用程序直接针对移动设备上的用户，从至少150名受害者那里窃取了约7万美元。这标志着窃取器首次专门针对移动设备用户，使用先进的社会工程策略和复杂的逃避技术。

这款应用利用了“WalletConnect”这个值得信赖的名字，这是一个将钱包连接到去中心化应用程序(dApp)的著名协议。通过伪装成真正的WalletConnect解决方案，它吸引了那些难以使用传统方法将钱包连接到Web3应用程序的用户安装它。

安装后，该应用程序会提示用户连接钱包。这个看似无害的请求其实是个陷阱。连接后，该应用程序会悄悄激活MS Drainer，这是一个功能强大的工具包，旨在窃取各种加密资产。

然后，MS Drainer会扫描受害者的钱包，寻找代币和NFT等有价值的资产。它会优先窃取最有价值的资产，使用巧妙的技术来最大限度地降低费用并避免被发现。该应用程序还采用了欺骗手段，诱骗用户签署交易，从而授予攻击者提取资金的权限。

这些交易看似合法，导致许多受害者在不知情的情况下损害了他们的资产。这个过程在多个区块链网络中重复，使攻击者能够系统地窃取受害者的资产。

恶意WalletConnect应用程序使用了先进的社会工程和技术操纵，利用合法WalletConnect协议的复杂性，欺骗用户认为它是将他们的加密货币钱包连接到Web3应用程序的安全工具。

根据Check Point周四在发布前分享的详细技术报告，该应用还使用了高级规避技术（例如虚假正面评论），在近五个月的时间里未在Google Play的验证过程中被发现，造成了重大损失。该应用的下载量累计超过10000 次，并收到了大量虚假正面评论，进一步欺骗了潜在的受害者。

这表明去中心化金融生态系统中的网络犯罪分子日益老练。窃取数字资产的加密货币窃取器越来越多地被攻击者使用，他们经常使用模仿合法平台的钓鱼网站和应用程序。此案例凸显了DeFi领域用户意识和安全的重要性，再次提醒我们，即使是看似合法的应用程序也可能隐藏恶意。

对此，Check Point Software的网络安全、研究与创新经理Alexander Chailytko警告Android用户在从第三方以及谷歌自己的Google Play或Play Store下载应用程序之前要小心。

亚历山大解释说：“这一事件给整个数字资产社区敲响了警钟，因为Google Play上第一个移动加密货币消耗器应用程序的出现标志着网络犯罪分子使用的策略显著升级，以及去中心化金融中网络威胁形势的迅速演变。”

“这项研究强调了对先进的、人工智能驱动的安全解决方案的迫切需求，这些解决方案可以检测和预防此类复杂威胁。用户和开发人员都必须随时了解情况并采取主动措施来保护他们的数字资产。”