ESET, la mayor compañía de soluciones de seguridad con sede en la Unión Europea, ha descubierto y rastreado un sofisticado complot malicioso de criptomonedas que se dirige a dispositivos móviles con sistemas operativos Android o iOS (iPhones). Las aplicaciones maliciosas se distribuyen a través de páginas web falsas, imitando servicios de monederos legítimos como Metamask, Coinbase, Trust Wallet, TokenPocket, Bitpie, imToken y OneKey. Estos sitios web falsos se promocionan con anuncios colocados en páginas legítimas utilizando artículos engañosos. Además, los responsables de la amenaza están reclutando intermediarios a través de grupos de Telegram y Facebook para seguir distribuyendo este entramado malicioso.
El objetivo principal de las aplicaciones maliciosas es robar los fondos de los usuarios y, hasta ahora, ESET Research ha visto que este esquema se dirige principalmente a los usuarios chinos. Como las criptomonedas están ganando popularidad, ESET espera que estas técnicas se extiendan a otros mercados.
A principios de mayo de 2021, una investigación de ESET descubrió docenas de aplicaciones de monederos de criptomonedas troyanizados. Se trata de un vector de ataque sofisticado, ya que el autor del malware realiza un análisis en profundidad de las aplicaciones legítimas utilizadas indebidamente en este entramado, permitiendo la inserción de su propio código malicioso en lugares difíciles de detectar, al tiempo que se asegura de que dichas aplicaciones manipuladas tienen la misma funcionalidad que las originales. En este momento, ESET Research cree que es probable que esto corresponda con el trabajo de un único grupo criminal.
«Estas aplicaciones maliciosas también representan otra amenaza para las víctimas, ya que algunas de ellas envían contraseñas de la víctima al servidor de los atacantes utilizando una conexión HTTP no segura. Esto significa que los depósitos de las víctimas podrían ser robados no sólo por el operador de este entramado, sino también por un atacante diferente que espíe en la misma red«, afirma Lukáš Štefanko, investigador de ESET que ha descubierto esta operación. «También hemos encontrado 13 aplicaciones maliciosas que suplantan al monedero Jaxx Liberty. Estas aplicaciones estaban disponibles en la tienda Google Play», añade.
En Telegram, una aplicación de mensajería multiplataforma gratuita y popular con características de privacidad y cifrado mejoradas, ESET ha encontrado docenas de grupos que promocionan copias maliciosas de monederos móviles de criptomonedas. Es de suponer que estos grupos fueron creados por el autor de la amenaza que está detrás de este complot en busca de más socios de distribución, ya que esta actividad está en curso desde mayo de 2021. A principios de octubre de 2021, la compañía de ciberseguridad descubrió que estos grupos de Telegram se compartían y promocionaban en al menos 56 grupos de Facebook con el mismo objetivo: buscar más socios de distribución. En noviembre de 2021 ESET también detectó la distribución de monederos maliciosos utilizando dos páginas web chinas legítimas.
Además de estos vectores de distribución, ESET ha descubierto docenas de otras páginas web de monederos falsos que se dirigen exclusivamente a los usuarios de móviles. La visita a uno de estos sitios web puede llevar a una víctima potencial a descargar una aplicación de monedero troyanizada para Android e iOS.
Diferente comportamiento en función del sistema operativo
La aplicación maliciosa se comporta de forma diferente según el sistema operativo en el que se haya instalado. En Android, parece dirigirse a los nuevos usuarios de criptomonedas que aún no tienen una aplicación de monedero legítima instalada en sus dispositivos. En iOS, la víctima puede tener instaladas ambas versiones: la legítima desde la App Store y la maliciosa desde un sitio web.
En cuanto a iOS, estas aplicaciones maliciosas no están disponibles en la App Store; deben descargarse e instalarse mediante perfiles de configuración, que añaden un certificado de firma de código de confianza arbitrario. En cuanto a Google Play, a raíz de nuestra solicitud como socio de Google App Defense Alliance, en enero de 2022, Google ha eliminado 13 aplicaciones maliciosas encontradas en la tienda oficial.
Además, parece que el código fuente de esta amenaza se ha filtrado y compartido en algunos sitios web chinos, lo que podría atraer a varios atacantes y propagar esta amenaza aún más.
«Actualmente el precio del bitcoin ha disminuido casi a la mitad desde su máximo histórico hace unos cuatro meses. Para los inversores en criptodivisas, este podría ser un momento para entrar en pánico y retirar sus fondos, o para que los recién llegados se lancen a esta oportunidad y compren criptodivisas a un precio más bajo. Si perteneces a uno de estos grupos, deberías elegir cuidadosamente qué aplicación móvil utilizar para gestionar tus fondos», aconseja Štefanko.
Cronología de la operación