Se descubrió que las aplicaciones maliciosas que pretenden ser billeteras criptográficas utilizadas para robar fondos de los usuarios de Android son iOS

Presentadas como billeteras criptográficas, han aparecido en línea decenas de aplicaciones maliciosas que tienen como objetivo robar fondos de usuarios de todo el mundo. Las aplicaciones estaban disponibles tanto para usuarios de Android como de iOS como parte de un esquema complejo, según un informe basado en una investigación. Se ha descubierto que las aplicaciones maliciosas en cuestión son para billeteras criptográficas como Coinbase, imToken, MetaMask, Trust Wallet, Bitpie, TokenPocket y OneKey. Las billeteras criptográficas troyanizadas se abrieron por primera vez en mayo de 2021 e inicialmente estaban dirigidas a consumidores chinos. Sin embargo, a medida que las criptomonedas se vuelven más populares, las técnicas maliciosas utilizadas por los atacantes pueden extenderse a usuarios de todo el mundo.

La empresa de seguridad en Internet ESET ha reportado la detección de billeteras criptográficas maliciosas que parecen estar disponibles tanto para usuarios de Android como de iOS.

Un estudio de ESET encontró un esquema complejo ejecutado por algunos atacantes anónimos e identificó más de 40 sitios web que se hacen pasar por billeteras criptográficas populares. Estos sitios web se dirigen a usuarios móviles y fuerzan a los visitantes a través de varias técnicas para permitirles descargar aplicaciones de billetera maliciosas.

Aunque la evidencia inicial sugirió que el objetivo podrían ser los consumidores chinos, más tarde se descubrió que el esquema podría estar dirigido a cualquier persona que use inglés en sus teléfonos.

«No solo están dirigidos a los usuarios chinos, ya que la mayoría de los sitios web y aplicaciones falsos que se distribuyen están en inglés. Por lo tanto, creo que podría afectar a cualquier persona en el mundo (si habla inglés)», dijo Lucas Stefanko, analista de malware en ESET, dicho por Gadgets 360.

El primer rastro del vector de distribución de billetera troyana se detectó en mayo de 2021. Los atacantes utilizaron varios grupos en Telegram para registrar personas para distribuir aplicaciones maliciosas, según el informe.

Con base en la información recibida, los investigadores encontraron que los atacantes les dieron a las personas una comisión del 50% sobre el contenido robado de la billetera. Esto tenía como objetivo atraer a más personas a bordo para distribuir malware.

Los investigadores también notaron que los grupos de Telegram se han compartido y promocionado en algunos grupos de Facebook para buscar más socios para distribuir malware. En última instancia, esto podría expandir el alcance de los ataques maliciosos al obtener intermediarios para atacar a las personas.

Según los investigadores, las aplicaciones de malware han pretendido funcionar como billeteras criptográficas legítimas, como imToken, Bitpie, MetaMask, TokenPocket y OneKey.

Las aplicaciones se comportan de manera diferente según el sistema operativo en el que están instaladas, dijeron los investigadores.

Las aplicaciones de Android están dirigidas a nuevos usuarios de criptomonedas que no tienen una aplicación de billetera legítima instalada en sus dispositivos. Las aplicaciones de cartera usaban el mismo nombre de paquete para disfrazarse de sus contrapartes originales. Sin embargo, fueron firmados con otro certificado. Esto restringe que estas aplicaciones sobrescriban la billetera oficial del dispositivo.

Sin embargo, en iOS, las aplicaciones maliciosas de billetera criptográfica se pueden instalar al mismo tiempo que su versión legítima. Las aplicaciones maliciosas solo se instalarán a través de una fuente de terceros, aunque la versión oficial puede ser de la App Store.

Una vez instaladas, los investigadores descubrieron que las aplicaciones podían robar frases de apertura generadas por una billetera criptográfica para dar acceso a la criptomoneda asociada con esa billetera. Se notó que estas frases se compartían con el servidor de los atacantes o con un grupo de chat secreto en Telegram.

Los investigadores de ESET también encontraron 13 aplicaciones de billetera falsificadas disponibles en Google Play Store, que fueron eliminadas en enero a pedido de ellos. Las aplicaciones se presentaron para la aplicación legítima Jaxx Liberty Wallet y se instalaron más de 1100 veces.

Los investigadores aconsejan a los usuarios que descarguen e instalen aplicaciones solo de fuentes oficiales, como Google Play en el caso de Android y la App Store de Apple para los usuarios de iPhone. También se recomienda a los usuarios que desinstalen rápidamente las aplicaciones si las encuentran maliciosas. En el caso de iOS, los usuarios también deben eliminar el perfil de configuración de aplicaciones maliciosas accediendo a Ajustes > Total > VPN y administración de dispositivos una vez instaladas las aplicaciones.

Se recomienda a los usuarios que planean ingresar al mundo criptográfico y desean configurar una nueva billetera que usen solo un dispositivo y una aplicación confiables antes de transferir el dinero que tanto les costó ganar.

«Dado que los atacantes conocen el historial de todas las transacciones de la víctima, es posible que no roben los fondos de inmediato y esperen una mejor oportunidad una vez que se depositen más monedas», escribió Stefanko en el informe.

Deja un comentario