Aplikasi Wallet Palsu di Play Store Curi Kripto Senilai $70.000
Aplikasi crypto wallet palsu yang tersedia selama empat bulan di Google Play Store berhasil mencuri aset digital senilai $70.000 (Rp1 miliar) sebelum akhirnya dihapus.
Aplikasi jahat tersebut, yang diberi nama WalletConnect, menyamar sebagai protokol Web3 populer WalletConnect. Setelah terinstal, pengguna akan diminta untuk menautkan wallet mereka, dengan klaim menawarkan akses aman dan lancar ke aplikasi web3.
Namun, saat pengguna mengotorisasi transaksi, mereka diarahkan ke situs web berbahaya yang memungkinkan penipu mendapatkan rincian wallet korban. Dengan memanfaatkan mekanisme smart contract, para penyerang dapat memulai transfer tanpa izin dan mencuri crypto dari wallet korban.
Menurut firma keamanan siber Check Point Research (CPR), WalletConnect telah diunduh 10.000 kali, namun hanya 50 orang yang jadi korban phising.
Para penipu di balik aplikasi tersebut sangat menyadari tantangan umum yang dihadapi oleh pengguna web3, seperti masalah kompatibilitas dan kurangnya dukungan luas untuk WalletConnect di berbagai wallet.
Mereka dengan cerdik memasarkan aplikasi palsu tersebut sebagai solusi atas masalah ini, dan memanfaatkan tidak adanya aplikasi WalletConnect resmi di Play Store.
Ditambah dengan banyaknya ulasan positif palsu, aplikasi tersebut tampak asli bagi pengguna yang tidak menaruh curiga. Meskipun aplikasi ini memiliki sekitar 20 ulasan negatif, namun semua itu tertutupi oleh ulasan positif palsu.
“Insiden ini menjadi peringatan bagi seluruh komunitas aset digital,” kata Alexander Chailytko, manajer keamanan siber, penelitian, dan inovasi di CPR.
Ia menekankan perlunya solusi keamanan canggih untuk mencegah serangan canggih tersebut, dan mendesak pengguna dan pengembang untuk mengambil langkah proaktif guna mengamankan aset digital mereka.
Sementara itu, Google menyatakan bahwa semua versi aplikasi berbahaya yang diidentifikasi oleh CPR telah dihapus sebelum laporan diterbitkan.