De acordo com o artigo publicado pela Cointelegraph,

Os aplicativos estavam se passando por carteiras de criptomoedas para NEO, Tether e uma extensão para acessar Ethereum (ETH), MetaMask. Eles foram projetados para violar as credenciais do banco móvel dos usuários e as informações do cartão de crédito.

Stefanko classificou as carteiras em dois grupos, onde o falso aplicativo MetaMask era uma “carteira de phishing” e os outros três eram “carteiras falsas”. Depois que o aplicativo de phishing é instalado e lançado, ele solicita a senha privada e a senha da carteira do usuário.

Em um vídeo anexado ao post do blog, Stefanko explicou sua pesquisa sobre as “carteiras falsas”, observando o exemplo do falso aplicativo NEO apelidado de “Neo Wallet”, que tinha mais de 1 mil instalações desde seu lançamento em outubro.

As falsas carteiras de criptomoedas supostamente não criaram uma nova carteira gerando um endereço público e uma chave privada – que são necessários para enviar e receber moeda digital com segurança -, mas exibiam apenas o endereço público do invasor sem acesso do usuário à chave privada. Pensando que o aplicativo gerou o endereço público, os usuários depositaram seus fundos nessa carteira, mas não puderam retirá-los, pois a chave privada pertencia a um cibercriminoso.

Stefanko observou que os aplicativos foram desenvolvidos usando o serviço de criação de aplicativos Drag-n-Drop, que não requer conhecimento específico de codificação do usuário. Isso significa que praticamente qualquer pessoa é capaz de “desenvolver” um aplicativo malicioso simples para roubar dados pessoais confidenciais, “uma vez que o preço do Bitcoin (BTC) aumenta”, segundo Stefanko.

O analista afirma ter relatado os aplicativos falsos à equipe de segurança do Google, após o qual as carteiras foram removidas posteriormente.