Check Point Research (CPR) ha descubierto una nueva amenaza revolucionaria: la primera aplicación de un drenador de criptomonedas para dispositivos móviles que se ha encontrado en Google Play. Esta aplicación, que se hace pasar engañosamente por la herramienta legítima WalletConnect, explotó la creciente popularidad de los activos digitales y atacó a los usuarios directamente en sus dispositivos móviles.
En cinco meses, logró más de 10.000 descargas y robó alrededor de 70.000 dólares a víctimas desprevenidas, siendo esta la primera vez que un drenador se ha dirigido exclusivamente a usuarios de dispositivos móviles, aprovechando tácticas avanzadas de ingeniería social y técnicas sofisticadas de evasión para evitar ser detectado.
Información clave de la investigación:
- Una primicia en amenazas para dispositivos móviles: este es el primer caso informado de un drenador de criptomonedas que se dirige exclusivamente a usuarios de dispositivos móviles, lo que indica la creciente sofisticación de los cibercriminales en el ecosistema de finanzas descentralizadas. Los drenadores de criptomonedas, una forma de malware diseñado para robar activos digitales, se han convertido en una herramienta favorita entre los atacantes, que a menudo utilizan sitios web y aplicaciones de phishing que imitan plataformas legítimas y, a medida que los activos digitales se vuelven más comunes, estas amenazas evolucionan rápidamente y los atacantes encuentran nuevas formas de eludir las medidas de seguridad tradicionales. La aplicación maliciosa WalletConnect, identificada por CPR, aprovechó la ingeniería social avanzada y la manipulación técnica para engañar a los usuarios y hacerles creer que era una herramienta segura y necesaria para conectar sus billeteras de criptomonedas a aplicaciones Web3.
- Impacto significativo en los usuarios: la aplicación se descargó más de 10.000 veces y robó con éxito aproximadamente 70.000 USD de al menos 150 víctimas. La mayoría de los fondos robados permanecen en las billeteras de los atacantes, lo que sugiere una actividad delictiva en curso.
- Técnicas de evasión sofisticadas: la aplicación utilizó ingeniería social avanzada, críticas positivas falsas y tácticas de evasión modernas para permanecer sin ser detectada en Google Play durante casi cinco meses. Estos métodos permitieron a los atacantes manipular las clasificaciones de búsqueda para permanecer como una aplicación de primera categoría y ocultar la naturaleza maliciosa de la aplicación.
- Explotación de la confianza: los atacantes explotaron astutamente las complejidades del protocolo legítimo WalletConnect, utilizando su nombre de confianza para engañar a los usuarios. Esta táctica aprovechó la confusión de los usuarios sobre la conexión de aplicaciones y billeteras descentralizadas, haciendo que la aplicación maliciosa pareciera una solución segura.
- Engaño técnico: una vez instalada, la aplicación solicitaba a los usuarios que conectaran sus billeteras, redirigiéndolos a sitios web maliciosos y ejecutaba transacciones no autorizadas, drenando tokens valiosos mientras evitaba la detección inmediata. Este proceso se repitió en varias redes de blockchain, lo que permitió a los atacantes despojar sistemáticamente los activos de las víctimas.
Alexander Chailytko, gerente de seguridad cibernética, investigación e innovación en Check Point Software, comentó: ‘Este incidente es una llamada de atención para toda la comunidad de activos digitales, ya que la aparición de la primera aplicación móvil de drenaje de criptomonedas en Google Play marca una escalada significativa en las tácticas utilizadas por los ciberdelincuentes y el panorama de rápida evolución de las amenazas cibernéticas en las finanzas descentralizadas. Es esencial que tanto los usuarios como los desarrolladores se mantengan informados y tomen medidas proactivas para proteger sus activos digitales’.
