Llevamos años viendo como los delincuentes se adaptan a las tendencias y hábitos de los usuarios y, cuando estos empezaron a conocer y operar con criptomonedas, fue cuestión de poco tiempo que los delincuentes maquinaran nuevas tácticas para lograr un beneficio directo realizando actividades delictivas. Así pues, de la misma forma que se preparan campañas con troyanos bancarios pensadas para vaciar las cuentas bancarias, también hay otras variantes diseñadas para vaciar las carteras de criptomonedas, variantes como la que vamos a analizar a continuación.
Suplantación de Metamask
Entre las carteras de criptomonedas más conocidas y utilizadas por los usuarios se encuentra Metamask, utilizada para almacenar y administrar claves, realizar transacciones, enviar y recibir criptomonedas y tokens basados en la plataforma Ethereum, y conectarse de forma segura a aplicaciones descentralizadas a través de un navegador web compatible o con el navegador integrado en la aplicación para dispositivo móviles.
Es precisamente esta aplicación para móviles y, mas concretamente, su versión para dispositivos Android la que está siendo suplantada activamente desde hace unos meses. El investigador Daniel López lleva identificando diferentes versiones de aplicaciones fraudulentas que se hacen pasar por la app legítima de Metamask desde el pasado 9 de abril y gracias a los detalles aportados, podemos ver que los delincuentes copian casi a la perfección la web oficial.
En realidad, a primera vista, solo un aviso sobre la conexión no del todo segura de la web fraudulenta (aunque cuenta con un certificado de seguridad válido) puede hacer sospechar al ojo de un usuario entrenado. Tampoco es la primera vez que analizamos un phishing de Metamask, aunque en anteriores ocasiones hemos visto como los delincuentes usaban un correo electrónico para tratar de dirigirnos a una web fraudulenta donde introducir la frase con la clave privada de recuperación.
No obstante, aun en el caso de que no nos fijemos atentamente a la hora de identificar si la web es legítima o no, nuestra solución de seguridad nos puede echar una mano ya que el módulo antiphishing reconoce la web fraudulenta al instante y nos muestra una alerta para impedir que caigamos en la trampa.
La finalidad de los delincuentes en esta campaña es conseguir que aquellos usuarios que accedan a la web fraudulenta que han preparado descarguen e instalen en su dispositivo Android una aplicación maliciosa que se hace pasar por la cartera de criptomonedas Metamask. Para eso han habilitado una sección de descargas desde donde se puede seleccionar el instalador para Android.
Esta descarga se realiza desde un dominio diferente al que se está usando para alojar la web fraudulenta (y que también es detectado como phishing por las soluciones de seguridad de ESET). El archivo descargado tiene el formato de un instalador de Android y pesa 30,8 MegaBytes y también sería detectado en el caso de contar con una solución de seguridad como ESET Mobile Security en el dispositivo móvil.
En cuanto a la aplicación maliciosa, una vez instalada solicita varios tipos de permisos que, de concedérselos permitirá a los delincuentes realizar ciertas acciones en el dispositivo. Entre estos permisos destacamos la capacidad de utilizar las medidas de seguridad biométricas, la escritura en unidades de almacenamiento externo o el acceso a la red WiFi, entre otras.
Al final, lo que tratan de obtener los delincuentes con estas aplicaciones fraudulentas es la la frase con la clave privada de recuperación de la cartera de Metamask del usuario y para ello no dudarán en preparar una elaborada web suplantando a la original o una aplicación fraudulenta con todo tipo de recursos para tratar de otorgar legitimidad a la app, como el uso de logotipos oficiales o el diseño de la aplicación original.
Entre estos recursos encontramos capturas de pantalla interesantes como la que mostramos a continuación, donde se observa como se indica la frase de recuperación de la cuenta donde se almacenan las criptomonedas. Muy probablemente, esta imagen se muestre en los pasos previos a solicitar al usuario que la revele y los delincuentes puedan robarla y obtener así el control de las criptomonedas.
Esta amenaza es detectada por las soluciones de seguridad de ESET como una variante del troyano Android/FakeWallet.GK.
Conclusión
Aunque el valor de las criptomonedas ha experimentado importantes subidas y bajadas durante los últimos años, los delincuentes siguen muy interesados en ellas. No solo manejando importantes cantidades de dinero dificultando su rastreo, sino también robando estas criptodivisas de donde las tengan almacenadas los usuarios. Es por es emotivo que debemos aprender a reconocer las tácticas usadas por estos criminales adoptar las medidas necesarias para evitar caer víctimas de sus amenazas.