Fake WalletConnect app on Google Play steals Android users’ crypto

正規の「WalletConnect」プロジェクトを模倣した暗号通貨流出アプリが、Google Play上で5ヶ月間配布され、10,000以上のダウンロードを記録した。

この悪質なアプリはWallConnectという名前を使い、様々なブロックチェーン機能を備えた軽量のWeb3ツールを装い、暗号通貨ウォレットと分散型アプリケーション(dApps)の間のプロキシとして機能することを提案していた。

本物のWalletConnectはオープンソースの暗号ブリッジ・プロトコルで、同じことを行うが、すべてのウォレットがサポートしているわけではないため、いくつかの制限がある。

この偽アプリは3月からGoogle Playに登場し、偽のユーザーレビューによってランキングを上げ、より多くの潜在的な被害者に認知されるようになった。

Fake WalletConnect app on Google Play
Google Play上の偽WalletConnectアプリ
ソースはこちら:チェック・ポイント

このアプリがインストールされると、ユーザーは悪意のあるウェブサイトに誘導され、そこで複数の取引の承認を求められる。

チェック・ポイントの研究者はこのアプリを分析し、価値の低いアイテムを盗む前に、より高価なトークンの引き出しを優先していたと述べています。

Deceptive wallet connection page
欺瞞的なウォレット接続ページ
Source:チェック・ポイント

公式Androidストアで入手可能だった5ヶ月間で、偽者WalletConnectアプリのダウンロード数は10,000に達した。

アナリストの報告によると、少なくとも150人の被害者がこの詐欺に引っかかり、70,000ドルを超えるデジタル資産を失ったという。しかし、そのうちの20人だけがGoogle Playにネガティブなレビューを残している。

被害者数とダウンロード数の差を考えると、詐欺師がダウンロード数を人為的に水増しした可能性もある。

チェック・ポイントの研究者はこの偽アプリをグーグルに報告し、アンドロイド・ストアから削除された。

ユーザーは、暗号通貨ウォレットをプラットフォームやサービスにリンクさせる際にはより慎重になり、取引やスマートコントラクトを承認する前に十分に確認する必要がある。

Google Playには、悪意のあるコードを含むアプリをブロックする防御メカニズムが備わっていますが、特に、不正行為に悪意のあるコードが含まれておらず、様々なプラットフォームやサービスへのリダイレクトに依存している場合、ストアに掲載される可能性があります。