Malware en billeteras de criptomonedas apunta a dispositivos Android e iOS

Malware sofisticado se hace pasar por billeteras de criptomonedas populares

ESET Research descubre aplicaciones troyanizadas para Android e iOS distribuidas a través de sitios web que se hacen pasar por servicios legítimos. Estas aplicaciones maliciosas fueron capaces de robar las frases semilla o frase de recuperación (en inglés conocidas como seed phrase) de las víctimas haciéndose pasar por apps legítimas de Coinbase, imToken, MetaMask, Trust Wallet, Bitpie, TokenPocket o OneKey.

Se trata de un vector de ataque sofisticado, ya que los autores del malware analizaron en profundidad las aplicaciones legítimas para abusar de ellas en este esquema, lo que permitió a los cibercriminales insertar su propio código malicioso en lugares donde sería difícil de detectar y, al mismo tiempo, se aseguraron de que las aplicaciones tengan la misma funcionalidad que las originales. Dicho esto, creemos que este es trabajo sea obra de un grupo criminal.

El equipo de ESET Research identificó más de 40 sitios web que imitan los sitios de servicios de billeteras de criptomonedas muy populares. Estos sitios web se dirigen solo a usuarios de dispositivos móviles y ofrecen la descarga de aplicaciones de billetera maliciosas.

En Telegram se encontró docenas de estos grupos que promocionan copias de aplicaciones de billeteras de criptomonedas maliciosas. Se asume que estos grupos fueron creados por el actor de amenazas detrás de este esquema en busca de más socios de distribución, sugiriendo opciones como telemarketing, redes sociales, publicidad, SMS, canales de terceros, sitios web falsos, etc. Todos estos grupos se comunicaban en chino. Según la información obtenida de estos grupos, a quienes distribuyan este malware se le ofrece una comisión del 50 por ciento sobre el contenido robado de la billetera.


En el caso de iOS, estas aplicaciones maliciosas no están disponibles en la App Store; deben descargarse e instalarse mediante perfiles de configuración, que añaden un certificado de firma de código de confianza arbitrario. Usando estos perfiles, es posible descargar aplicaciones que no están verificadas por Apple desde fuentes externas a la App Store. Apple introdujo perfiles de configuración en iOS 4 y tenía la intención de que se usaran en entornos corporativos y educativos para permitir que los administradores de redes o sistemas instalen aplicaciones personalizadas en todo el sitio sin tener que cargarlas y verificarlas a través de los procedimientos habituales de la App Store. Como era de esperarse, los ciberdelincuentes ahora están utilizando la ingeniería social para lograr que las víctimas instalen perfiles de configuración para permitir la posterior instalación de malware.

Fuente: welivesecurity.com

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies