据报道，谷歌Play商店上的一个假冒加密钱包应用程序在下载了1万次后，从毫无戒心的客户那里窃取了价值数万美元的加密资产。

根据网络安全公司Checkpoint Research (CPR)的一份新报告，谷歌Play上的一个恶意钱包耗尽程序在商店中存在了五个多月后，从用户那里偷走了价值7万美元的数字资产。

CPR表示，恶意软件将自己伪装成与WalletConnect相关的应用程序(WalletConnect本身没有应用程序)，以利用困惑的用户。WalletConnect是一种用于web浏览器和手机的协议，用于在加密钱包和分散应用程序(DApps)之间建立连接。

CPR,说

考虑到WalletConnect的所有复杂性，没有经验的用户可能会认为这是一个单独的钱包应用程序，需要下载和安装。攻击者利用这种混乱，希望用户在应用商店中搜索WalletConnect应用。

然而，当用户在Google Play中搜索WalletConnect时，会发现恶意应用程序“WalletConnect - Crypto Wallet”位于列表的顶部。

根据CPR，该漏洞的创造者使用社会工程和其他聪明的策略来执行和混淆他们复杂的加密方案，欺骗了数百名受害者。

“攻击者结合了社会工程、技术操纵和巧妙利用用户困惑来执行复杂的加密耗尽操作。

通过利用WalletConnect这样一个知名且值得信赖的名字，并利用简单且要求不高的应用程序的缺点，他们能够欺骗150多名受害者，并积累了大量的加密货币，而不会立即引发怀疑。”

这家网络安全公司接着说，这个漏洞的独特之处在于，它依赖于智能合约，而不是攻击键盘记录器等传统目标。