Malafide app die cryptovaluta steelt ontdekt in Google Play

De malafide app deed zich voor als het legitieme Web3 open-source protocol WalletConnect. Door gebruik te maken van geavanceerde social engineering en technische manipulatie, wisten cybercriminelen meer dan 70.000 dollar te stelen van meer dan 10.000 slachtoffers.

Phishing via Google Apps Script-macro's

Naast de cryptodrainer-app heeft CPR ook een phishingcampagne geïdentificeerd waarbij Google Apps Script-macro's worden nagebootst. Cybercriminelen blijven steeds geavanceerdere technieken ontwikkelen om gebruikers te misleiden en beveiligingsmechanismen te omzeilen.

Cryptodrainers, malware die is ontworpen om digitale activa te stelen, worden steeds vaker ingezet. Aanvallers maken gebruik van phishing-websites en apps die legitieme cryptoplatforms imiteren om gebruikers te misleiden om ongeautoriseerde transacties goed te keuren. Hierdoor kunnen cybercriminelen cryptovaluta overdragen naar hun eigen wallets.

Kwaadaardige wallet-app

Voor het eerst worden deze schadelijke tactieken ook toegepast op mobiele apparaten. CPR ontdekte een app op Google Play genaamd WalletConnect, die in werkelijkheid een cryptodrainer was. Deze app imiteerde het legitieme WalletConnect-protocol en misleidde gebruikers om te geloven dat het een veilige manier was om cryptocurrency over te dragen. De app, die in maart 2024 werd geüpload, bleef meer dan vijf maanden onopgemerkt dankzij ontwijkingstechnieken. In deze periode werd de app meer dan 10.000 keer gedownload, met een buit van ruim 70.000 dollar aan gestolen cryptovaluta.

Onderzoek door CPR wees uit dat de aanvallers transacties uitvoerden van meer dan 150 verschillende adressen, wat duidt op minstens 150 slachtoffers. Hoewel slechts twintig gebruikers negatieve recensies op Google Play achterlieten, suggereert dit dat er nog veel slachtoffers zijn die niet weten dat hun geld is gestolen. Toen de app negatieve beoordelingen ontving, manipuleerden de malwareontwikkelaars de recensiepagina door valse positieve beoordelingen toe te voegen, waardoor de app legitiem leek voor toekomstige slachtoffers. Inmiddels is de app door Google Play verwijderd.

“Dit incident onderstreept de toenemende verfijning van cybercriminele tactieken, vooral in gedecentraliseerde financiën, waar gebruikers vaak afhankelijk zijn van tools en protocollen van derden om hun digitale activa te beheren. De doeltreffendheid van de kwaadaardige app wordt verder vergroot door het vermogen om detectie te vermijden door middel van omleidingen en technieken om de user-agent te controleren. Conventionele tools zoals Google Search, Shodan en geautomatiseerde controles kunnen dergelijke bedreigingen vaak niet identificeren, omdat ze afhankelijk zijn van zichtbare en toegankelijke gegevens die deze apps opzettelijk verbergen. Dit maakt het bijna onmogelijk voor geautomatiseerde systemen en handmatige zoekopdrachten om ze te detecteren", zegt Zahier Madhar, security engineer expert bij Check Point.

Phishing via Google App Scripts

Naast de kwaadaardige app op Google Play, hebben onderzoekers onlangs ook een phishingcampagne ontdekt die Google Apps Script-macro's vervalst, een tool die wordt gebruikt om taken in Google-applicaties te automatiseren. Deze phishingcampagne omvat ongeveer 360 e-mails in verschillende talen, waaronder Engels, Russisch, Chinees, Arabisch, Italiaans, Duits en Frans. In de e-mails wordt ten onrechte beweerd dat er “accountgegevens” zijn verstrekt voor een registratie die de ontvanger nooit heeft aangevraagd. De campagne is nog steeds actief. Als slachtoffers in de phishingval trappen, lopen organisaties risico op blootstelling van gevoelige gegevens, frauduleuze geldtransacties en verstoringen in hun bedrijfsvoering.

De phishingmails bevatten een link in de onderwerpregel die de ontvanger naar een Google Apps Script-pagina leidt. Op deze pagina staat een misleidende URL met de domeinnaam scrip.google.com, die zich voordoet als een "veilige en vertrouwde" betalingsservice. Omdat de URL legitiem lijkt, kan deze gebruikers misleiden om gevoelige informatie vrij te geven.

“Om dit soort bedreigingen te herkennen, moet je letten op e-mails met onderwerpregels die beweren “accountgegevens” te verstrekken voor een niet-erkende registratie. URL's die “scrip.google.com” bevatten, maar die gebruikers naar pagina's leiden waar om de invoer van gevoelige gegevens wordt gevraagd, zijn ook rode vlaggen. Geavanceerde e-mailfiltering en URL-scanning kunnen nuttige hulpmiddelen zijn. En de bewustwording van de gevaren is essentieel om gebruikers beter te kunnen wapenen tegen dergelijke cyberaanvallen", besluit Zahier.