Recientemente, Check Point Research (CPR) ha descubierto una nueva amenaza interesante: la aplicación de un drenador de criptomonedas para dispositivos móviles que se ha encontrado en Google Play.
Esta aplicación, que se hace pasar engañosamente por la herramienta legítima WalletConnect, explotó la progresiva popularidad de los activos digitales y atacó a los usuarios directamente en sus dispositivos móviles. En 5 meses, logró más de 10 000 descargas y robó cerca de 70 000 dólares a víctimas desprevenidas, siendo esta la primera vez que un drenador se ha dirigido exclusivamente a usuarios de dispositivos móviles, aprovechando tácticas avanzadas de ingeniería social y técnicas sofisticadas de evasión para evitar ser detectado.
Drenador de criptomonedas: información clave de la investigación
En cuanto al drenador de criptomonedas hay algunos aspectos claves que conocer, los mismos son:
- Una primicia en amenazas para dispositivos móviles: vale la pena destacar que este es el primer caso informado de un drenador de criptomonedas que se dirige exclusivamente a usuarios de dispositivos móviles, lo que indica la progresiva sofisticación de los cibercriminales en el ecosistema de finanzas descentralizadas. Los drenadores de criptomonedas, una forma de malware diseñado para robar activos digitales, se han convertido en una herramienta favorita entre los atacantes, que frecuentemente utilizan sitios web y aplicaciones de phishing que imitan plataformas legítimas y, conforme los activos digitales se vuelven más habituales, estas amenazas evolucionan rápidamente y los atacantes hallan nuevas formas de eludir las medidas de seguridad tradicionales. La aplicación maliciosa WalletConnect, identificada por CPR, aprovechó la ingeniería social avanzada y la manipulación técnica para engañar a los usuarios y hacerles creer que era una herramienta segura y necesaria para conectar sus billeteras de criptomonedas a aplicaciones Web3.
- Impacto significativo en los usuarios: la aplicación se descargó más de 10 000 veces y robó con éxito cerca de $70 000 de al menos 150 víctimas. Es de resaltar que, la mayoría de los fondos robados permanecen en las billeteras de los atacantes, lo que sugiere una actividad delictiva en curso.
- Técnicas de evasión sofisticadas: la aplicación usó ingeniería social avanzada, críticas positivas falsas y así mismo, tácticas de evasión modernas para permanecer sin ser detectada en Google Play durante casi un tiempo de 5 meses. Estos métodos permitieron a los atacantes manipular las clasificaciones de búsqueda para permanecer como una aplicación de primera categoría y ocultar la naturaleza maliciosa de la aplicación.
- Explotación de la confianza: según se informa, los atacantes explotaron sagazmente las complejidades del protocolo legítimo WalletConnect, utilizando su nombre de confianza para engañar a los usuarios. Esta táctica aprovechó la confusión de los usuarios sobre la conexión de aplicaciones y billeteras descentralizadas, haciendo que la aplicación maliciosa pareciera una solución segura.
- Engaño técnico: vale la pena aclarar que, una vez instalada, la aplicación solicitaba a los usuarios que conectaran sus billeteras, redirigiéndolos a sitios web maliciosos y ejecutaba transacciones no autorizadas, drenando tokens valiosos mientras evitaba la detección inmediata. Este proceso se repitió en varias redes de blockchain, lo que permitió a los atacantes quitar sistemáticamente los activos de las víctimas.
