Cuidado con los clones de Coinbase o MetaMask de la Play Store: están llenos de malware
Decenas de apps capaces de robar datos de acceso a aplicaciones de criptomonedas tan famosas como Coinbase han sido descubiertas por un grupo de investigadores especializados en ciberseguridad.
Coinbase y MetaMask son dos de los softwares de criptomonedas más utilizados del mundo, y no es de extrañar que en los últimos años, se hayan convertido en el objetivo de los hackers a la hora de organizar sus ataques, con el objetivo de aprovecharse de los usuarios incautos para conseguir datos, o incluso dinero.
Un informe reciente de la gente de ESET Research ha descubierto una nueva amenaza que, desde mayo del año 2021, ha trabajado con el objetivo de colar troyanos en dispositivos Android y iOS de usuarios de todo el mundo, capaces de robar credenciales secretas de acceso a plataformas como Coinbase, MetaMask, OneKey, Bitpie, Trust Wallet o TokenPocket.
Un grupo criminal podría estaría detrás de este ataque
En el informe, se especifica que se trata de un ataque muy complejo, dado que los autores del malware llevaron a cabo un análisis a fondo de las apps legítimas para copiar sus funciones al detalle, con el objetivo de hacer sus troyanos mucho más difíciles de detectar. Por esa razón, se piensa que es muy probable que exista un grupo criminal detrás de la amenaza, y no una única persona como ha sucedido en anteriores ocasiones.
Posteriormente, las apps eran promocionadas en diferentes sitios web y canales de Telegram, incitando a los usuarios a descargar las aplicaciones infectadas, disponibles tanto en Android --a través de Google Play-- como en iOS. En total, se han descubierto más de 40 sitios web que promocionaban las apps maliciosas, la mayoría de ellas dirigidas al público chino.
Según los investigadores, el troyano funcionaba de una manera diferente dependiendo de la plataforma: en Android, la amenaza está dirigida a aquellos usuarios que no tenían la app de criptomonedas en sus dispositivos, dado que debido al funcionamiento del sistema, no es posible sobrescribir una aplicación que ya está instalada en el dispositivo, si la clave usada para firmar la aplicación no es la misma que la de la app original.
En el caso de iOS, es posible tener ambas aplicaciones instaladas de manera simultánea, algo que los atacantes aprovechaban para colarse en los dispositivos de las víctimas. Sin embargo, dado que las apps no estaban presentes en la App Store, era necesario descargar e instalar perfiles de configuración en el dispositivo, que ya incorporaban el troyano instalado.
Una vez instaladas, las aplicaciones intentaban engañar al usuario con el objetivo de obtener su frase de seguridad o "semilla", necesaria para acceder a la cartera de criptomonedas. Posteriormente, la información era enviada a los servidores del atacante, y gracias a ella, podían manipular a su antojo el contenido de las carteras.
Por si eso no fuera suficiente, además, la transmisión de datos al servidor se realizaba utilizando una conexión insegura de tipo HTTP, lo cual podría permitir a terceras personas obtener las claves realizando un ataque de espionaje de la red de la víctima. En el vídeo bajo estas líneas, se puede observar un ejemplo de ataque de este tipo, donde se extrae la información sensible a través de la conexión HTTP:
Pese a ser un ataque dirigido principalmente a usuarios de China, se han descubierto "docenas de variantes" diferentes, solo en Google Play Store. Además, dado que el código del ataque ha sido publicado en Internet, lo más probable es que siga siendo utilizado de aquí en adelante.
Por esa razón, es muy importante asegurarse de que las aplicaciones que se descargan provengan de fuentes fiables, y que, además, sean publicadas en sus respectivas tiendas por desarrolladores reputados.
Para estar siempre al día con lo último en tecnología, suscríbete a nuestro canal oficial y verificado de Andro4all en WhatsApp.