Los ciberdelincuentes, siempre a la caza del mayor beneficio económico con el menor esfuerzo posible, están centrando gran parte de sus esfuerzos en hacerse con criptomonedas. Una de sus últimas estafas apunta a dispositivos móviles con sistemas operativos Android o iOS.
La compañía de seguridad ESET ha detectado un complot malicioso de criptodivisas que se articula a través de 40 páginas web. Estas suplantan monederos de criptomonedas populares, como Metamask, Coinbase, Trust Wallet, TokenPocket, Bitpie, imToken y OneKey.
Estos sitios web falsos se promocionan con anuncios colocados en páginas legítimas utilizando artículos engañosos. Además, los autores de la amenaza están reclutando colaboradores a través de grupos de Telegram y Facebook con el fin de seguir distribuyendo este entramado malicioso.
"Estas apps maliciosas también representan otra amenaza para las víctimas, ya que algunas de ellas envían contraseñas de la víctima al servidor de los atacantes utilizando una conexión HTTP no segura. Esto significa que los depósitos de las víctimas podrían ser robados no sólo por el operador de este entramado, sino también por un atacante diferente que espíe en la misma red", afirma Lukáš Štefanko, investigador de ESET que ha descubierto esta operación.
"También hemos encontrado 13 aplicaciones maliciosas que suplantan al monedero Jaxx Liberty. Estas aplicaciones estaban disponibles en la tienda Google Play", añade.
Según señala ESET, por ahora el esquema del complot se dirige principalmente a los usuarios chinos. No obstante, espera que pueda extenderse a otros mercados, teniendo en cuenta la cada vez mayor popularidad de las criptomonedas.
La compañía de seguridad considera que detrás de la operación hay un grupo criminal. Lo cree teniendo en cuenta que en mayo del año pasado se hallaron también docenas de apps de exchange troyanizadas. ESET ve una línea común entre ambas amenazas, ya que estas apps legítimas usadas indebidamente tenían código malicioso en lugares difíciles de detectar.
Buscando aliados en Telegram
ESET se ha topado en Telegram con docenas de grupos que promocionan copias maliciosas de monederos móviles de criptomonedas. Es de suponer que estos grupos fueron creados por el autor de la amenaza que está detrás de este complot en busca de más socios de distribución, ya que esta actividad está en curso desde mayo de 2021.
Al mismo tiempo, encontró la distribución de monederos maliciosos usando dos páginas web chinas legítimas.
Un aspecto interesante es que las apps maliciosas encontradas se comportan de manera distinta dependiendo del sistema operativo en el que se hayan instalado. En Android, parece dirigirse a los nuevos usuarios de criptomonedas que aún no tienen una aplicación de monedero legítima instalada en sus dispositivos. En iOS, la víctima puede tener instaladas ambas versiones: la legítima desde la App Store y la maliciosa desde un sitio web.
"Actualmente el precio del bitcoin ha disminuido casi a la mitad desde su máximo histórico hace unos cuatro meses. Para los inversores en criptodivisas, este podría ser un momento para entrar en pánico y retirar sus fondos, o para que los recién llegados se lancen a esta oportunidad y compren criptodivisas a un precio más bajo. Si perteneces a uno de estos grupos, deberías elegir cuidadosamente qué aplicación móvil utilizar para gestionar tus fondos", sugiere Štefanko.