IT 보안 기업인 체크 포인트 리서치는 구글 플레이 스토어에서 "고급 회피 기술"을 사용하여 5개월 동안 7만 달러 이상을 탈취한 암호화폐 지갑 해킹 앱을 발견했다고 전했다. 이 악성 앱은 다양한 암호화폐 지갑과 분산 금융(DeFi) 애플리케이션을 연결할 수 있는 잘 알려진 앱인 WalletConnect 프로토콜로 위장했다. 체크 포인트 리서치는 9월 26일 블로그 포스트를 통해 이번 사건이 "모바일 사용자를 대상으로 한 최초의 드레너 공격"이라고 언급했다.

악성 애플리케이션은 가짜 리뷰와 일관된 브랜딩을 통해 1만 건 이상의 다운로드 수를 기록하며 검색 결과에서 높은 순위를 차지할 수 있었다. 이로 인해 150명 이상의 사용자가 약 7만 달러를 빼앗겼는데, 모든 앱 사용자가 공격의 대상이 된 것은 아니었다. 일부 사용자는 지갑을 연결하지 않았거나 사기를 의심한 경우가 있었고, 다른 사용자들은 악성 코드의 특정 타겟팅 기준을 충족하지 못했을 가능성이 있다.

체크 포인트 리서치는 가짜 앱이 3월 21일 구글 앱스토어에 출시되었으며, 5개월 이상 탐지되지 않도록 "고급 회피 기술"을 사용했다고 밝혔다. 이 앱은 처음에 "Mestox Calculator"라는 이름으로 출시되었으며, 여러 차례 이름이 변경되었지만 애플리케이션 URL은 여전히 무해한 계산기 웹사이트를 가리키고 있었다. 연구자들은 "이 기술 덕분에 공격자들은 구글 플레이의 앱 검토 과정을 통과할 수 있었고, 자동화된 및 수동 검토 과정은 '무해한' 계산기 애플리케이션을 로드했기 때문"이라고 설명했다.

사용자의 IP 주소 위치와 모바일 기기 사용 여부에 따라 사용자는 악성 앱의 백엔드로 리디렉션되어 지갑 해킹 소프트웨어인 MS Drainer에 접속하게 된다. 이 방식은 일반적인 지갑 해킹 기법과 유사하게 작동하며, 피해자에게 지갑 연결을 요청한다. 이는 실제 WalletConnect 앱이 작동하는 방식과 유사하여 사용자의 의심을 유도하지 않았다. 이후 사용자들은 지갑을 "검증"하기 위해 다양한 권한을 허용하도록 요청받으며, 이는 공격자의 주소가 "지정한 자산의 최대 금액을 이체"할 수 있는 권한을 부여하게 만든다.

체크 포인트 리서치는 "이번 사건은 사이버 범죄자 전술의 점점 더 정교해진 양상을 강조한다"며, "악성 앱은 권한 요청이나 키로깅과 같은 전통적인 공격 벡터에 의존하지 않았다"고 밝혔다. 악성 앱은 스마트 계약과 딥 링크를 통해 사용자가 앱을 사용하는 것을 속이고 조용히 자산을 탈취하는 방식을 취했다. 연구자들은 사용자가 "합법적으로 보이는 애플리케이션을 다운로드할 때 주의해야하며, 앱 스토어는 악성 앱을 차단하기 위해 검증 프로세스를 개선해야 한다"고 경고했다.

이번 사건은 Web3 기술과 관련된 위험에 대한 지속적인 교육이 필요함을 강조하며, 이처럼 무해해 보이는 상호작용도 심각한 재정적 손실로 이어질 수 있음을 보여준다. 구글은 이에 대한 즉각적인 논평을 제공하지 않았다.