Detectadas más de 40 páginas web suplantando monederos de criptodivisas

  • Endpoint

Las web falsas se promocionan con anuncios colocados en páginas legítimas. Además, los responsables de la amenaza están reclutando intermediarios a través de grupos de Telegram y Facebook para seguir tejiendo este entramado malicioso que se dirige a dispositivos Android o iOS.

ESET ha descubierto un sofisticado complot malicioso de criptomonedas que se dirige a dispositivos móviles con sistemas operativos Android o iOS, en el que aplicaciones maliciosas se distribuyen a través de páginas web falsas que imitan servicios de monederos legítimos como Metamask, Coinbase, Trust Wallet, TokenPocket, Bitpie, imToken y OneKey. Estos sitios falsos se promocionan con anuncios colocados en páginas legítimas utilizando artículos engañosos. Además, los responsables de la amenaza están reclutando intermediarios a través de grupos de Telegram y Facebook para seguir distribuyendo este entramado malicioso.

A principios de mayo de 2021, los investigadores de ESET descubrieron docenas de aplicaciones de monederos de criptomonedas troyanizados. Se trata de un vector de ataque sofisticado, ya que el autor del malware realiza un análisis en profundidad de las aplicaciones legítimas utilizadas indebidamente en este entramado, permitiendo la inserción de su propio código malicioso en lugares difíciles de detectar, al tiempo que se asegura de que dichas aplicaciones manipuladas tienen la misma funcionalidad que las originales. ESET Research cree que es probable que esto corresponda con el trabajo de un único grupo criminal.

El objetivo principal de las aplicaciones maliciosas es robar los fondos de los usuarios. Hasta ahora, este esquema se dirige principalmente a los usuarios chinos, pero se espera que se extienda a otros mercados.

"Estas aplicaciones maliciosas también representan otra amenaza para las víctimas, ya que algunas de ellas envían contraseñas de la víctima al servidor de los atacantes utilizando una conexión HTTP no segura. Esto significa que los depósitos de las víctimas podrían ser robados no sólo por el operador de este entramado, sino también por un atacante diferente que espíe en la misma red", afirma Lukáš Štefanko, investigador de ESET. "También hemos encontrado 13 aplicaciones maliciosas que suplantan al monedero Jaxx Liberty. Estas aplicaciones estaban disponibles en la tienda Google Play".

En Telegram, ESET ha encontrado docenas de grupos que promocionan copias maliciosas de monederos móviles de criptomonedas. Es de suponer que estos grupos fueron creados por el autor de la amenaza que está detrás de este complot en busca de más socios de distribución,. A principios de octubre de 2021, la compañía de ciberseguridad descubrió que estos grupos de Telegram se compartían y promocionaban en al menos 56 grupos de Facebook con el mismo objetivo: buscar más socios de distribución.  En noviembre de 2021 ESET también detectó la distribución de monederos maliciosos utilizando dos páginas web chinas legítimas.

Además de estos vectores de distribución, ESET ha descubierto docenas de otras páginas web de monederos falsos que se dirigen exclusivamente a los usuarios de móviles. La visita a uno de estos sitios web puede llevar a una víctima potencial a descargar una aplicación de monedero troyanizada para Android e iOS.

La aplicación maliciosa se comporta de forma diferente según el sistema operativo en el que se haya instalado. En Android, parece dirigirse a los nuevos usuarios de criptomonedas que aún no tienen una aplicación de monedero legítima instalada en sus dispositivos. En iOS, la víctima puede tener instaladas ambas versiones: la legítima desde la App Store y la maliciosa desde un sitio web. Además, parece que el código fuente de esta amenaza se ha filtrado y compartido en algunos sitios web chinos, lo que podría atraer a varios atacantes y propagar esta amenaza aún más.