Detectan campaña de malware que roba criptomonedas a usuarios de Android y iPhone
Investigadores de seguridad cibernética descubren campaña de malware que roba criptomonedas a usuarios de Android y iOS
Investigadores de seguridad cibernética descubrieron un esquema malicioso sofisticado que se dirige principalmente a los usuarios chinos a través de aplicaciones de imitación en Android e iOS, que imitan los servicios legítimos de billetera digital para desviar fondos de criptomonedas.
Se dice que los servicios de billetera se distribuyeron por medio de una red de más de 40 sitios web de billetera falsificados que se promocionan con la ayuda de artículos engañosos publicados en sitios web chinos legítimos, así como mediante el reclutamiento de intermediarios a través de grupos de Telegram y Facebook, en un intento por engañar a los visitantes desprevenidos para que descarguen las aplicaciones maliciosas.
ESET, que ha estado rastreando la campaña desde mayo de 2021, la atribuyó al trabajo de un solo grupo criminal. Las aplicaciones de billetera de criptomonedas troyanizadas están diseñadas de tal forma que replican la misma funcionalidad de sus contrapartes originales, al tiempo que incorporan cambios de código malicioso que permiten el robo de activos criptográficos.
ESET dijo que encontró docenas de grupos que promocionaban copias maliciosas de estas aplicaciones de billetera en la aplicación Telegram, que a su vez, se compartían en al menos 56 grupos de Facebook con la esperanza de conseguir nuevos socios de distribución para el esquema fraudulento.
En un giro único, las aplicaciones, una vez instaladas, se configuran de forma diferente según el sistema operativo de los dispositivos móviles comprometidos. En Android, las aplicaciones están dirigidas a usuarios de criptomonedas que aún no tienen instalada ninguna de las aplicaciones de billetera objetivo, mientras que en iOS, las víctimas pueden tener ambas versiones instaladas.
Cabe mencionar que las aplicaciones de billetera falsa no están disponibles directamente en la tienda de aplicaciones de iOS. Más bien, solo se pueden descargar al visitar uno de los sitios web maliciosos que utilizan perfiles de configuración que permiten instalar aplicaciones que no están verificadas por Apple y de fuentes externas a la App Store.
La investigación también descubrió 13 aplicaciones maliciosas que se hicieron pasar por Jaxx Liberty Wallet en Google Play Store, todas las cuales se eliminaron del mercado de aplicaciones de Android en enero de 2022. Se instalaron de forma colectiva más de 1100 veces.
Con los atacantes detrás de la operación reclutando activamente socios a través de las redes sociales y aplicaciones de mensajería y ofreciéndoles un porcentaje de la moneda digital robada, ESET advierte que los ataques podrían extenderse a otras partes del mundo en el futuro.