Falsi wallet su Play Store rubavano criptovalute

Il ricercatore di ESET Lukas Stefanko ha recentemente scoperto sul Play Store di Google diverse app che truffavano gli utenti rubando i loro dati o falsificando gli indirizzi di destinazione delle criptovalute. Dopo la segnalazione al team di Google le app sono state rimosse.

Una di queste app, MetaMask, dopo l’installazione chiedeva la chiave privata e la password del wallet Ethereum dell’utente. Due dati estremamente riservati che non dovrebbero mai essere divulgati.

Altre tre app invece truffavano gli utenti di Neo e Tether in maniera più subdola. Dopo l’installazione e il setup infatti un cryptowallet dovrebbe normalmente mostrare l’indirizzo pubblico dell’utente, affinché questi possa usarlo per ricevere i trasferimenti di criptovaluta. Le app malevole invece mostravano l’indirizzo pubblico dei truffatori.

Poiché questi indirizzi sono normalmente formati da una stringa alfanumerica molto lunga e senza chiari riferimenti, oppure mostrati come QR code, per l’utente è difficile rendersi conto che l’indirizzo non è quello legittimo e creato ad hoc dal wallet, bensì l’indirizzo del truffatore che ha realizzato l’app. Tanto basta però per consentire agli impostori di intercettare i trasferimenti di criptovaluta degli utenti, dirottandoli così verso il loro conto.

In questa immagine si vedono due account diversi a cui viene assegnato il medesimo QR code (fonte: Lukas Stefanko)
In questa immagine si vedono due account diversi a cui viene assegnato il medesimo QR code (fonte: Lukas Stefanko)

Per rendersi conto di truffe come questa sarebbe necessario applicare un po’ di sano scetticismo verso tutte le app finanziarie che si desidera utilizzare, ad esempio leggendo i commenti degli altri utenti, oppure verificando i voti sul marketplace (MetaMask e Neo Wallet avevano una media di 2,8).

Altrimenti ci si accorgerà del problema solo quando i fondi trasferiti spariranno senza arrivare sul conto. Anche per questo motivo è sempre consigliabile fare test con importi microscopici prima usare l’indirizzo per trasferimenti più consistenti.

Purtroppo monitorando gli indirizzi dei truffatori si può vedere come almeno uno di questi abbia ricevuto oltre cento transazioni:

AcNhcHMMufAs9ZfRQMg956WfAkdTok7P6y (18 transazioni)

AHbCMA99AVW3DvFYp7YL1xLP9B8RCvQWcL (0 transazioni)

AFrmmtTkkHwXbH4xDPqvA18bj5osRLWo24 (119 transazioni)

1HAjh17rQAYoQwFFugHkjhZwT6TFRuqBNc (3 transazioni)

Lukas Stefanko ha pubblicato un video dove illustra il funzionamento di queste app malevole.

 

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society e membro dell'Associazione Italiana esperti in Infrastrutture Critiche. Dal 2006 lavoro presso ESET Italia, dove ricopro il ruolo di Operations Manager. Il blog è personale.