Malware encontrado en Play Store cambia direcciones de Bitcoin y Ethereum en su wallet

Los actores maliciosos pueden reemplazar direcciones de criptomoneda gracias a este malware de portapapeles

Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan un nuevo incidente relacionado con malware en Play Store. Según los reportes, una nueva variante de malware utilizado para reemplazar el contenido del portapapeles de un equipo Android (esta variante se conoce como malware clipper) ha sido encontrado en la tienda de aplicaciones de Google.

Esta clase de malware fue reportado por primera vez en 2017, infectando algunos dispositivos Windows, mientras que en 2018 fue detectado en una tienda de apps de Android no oficial. Este 2019, el malware clipper al fin llegó a la plataforma de Play Store.

El malware estaba presente en una app maliciosa y el principal objetivo de sus desarrolladores era recopilar las credenciales de acceso y contraseñas del equipo de la víctima para robar activos virtuales. Este malware también es capaz de robar una dirección de cartera en línea de Bitcoin o Ethereum en el portapapeles de la víctima reemplazándola con direcciones conocidas por el atacante.

El malware, llamado Android/Clipper.C por los expertos en seguridad en redes, se aprovecha de la forma en la que un usuario ingresa una dirección de criptomoneda. Debido a que estas direcciones están compuestas por largas cadenas de caracteres aleatorios, los usuarios prefieren copiar y pegar las direcciones usando el portapapeles en lugar de ingresar cada símbolo de manera manual. Es en este punto donde el malware reemplaza la dirección de la víctima por otra en posesión del hacker.

Los investigadores encontraron este malware en la app MetaMask, un complemento que permite a los usuarios de Ethereum realizar transacciones a través de sitios web convencionales. Este complemento está disponible para Firefox y Chrome, pero la empresa no cuenta con aplicaciones móviles para ningún sistema operativo, lo que significa que los atacantes crearon una app falsa de la empresa para conseguir sus objetivos.

La app falsa de MetaMask ya ha sido removida de Play Store, aunque expertos en seguridad en redes no descartan la posibilidad de que variantes de este software maliciosos se encuentren presentes en otras aplicaciones disponibles en la tienda de Google.  

Al analizar las direcciones de criptomoneda asociadas al malware, se descubrió que los atacantes han extraído 0. 12868189 Bitcoin (alrededor de 460 dólares) y 0.00909752827411204 Ethereum (apenas equivalente a poco más de 1 dólar).

Expertos en ciberseguridad recomiendan a los usuarios de Android, especialmente aquellos que utilizan esta clase de activos virtuales, tener cuidado con estos desarrollos maliciosos, es altamente probable su presencia en otras aplicaciones.

Antes de descargar una app de Play Store, el usuario debe echar un vistazo al sitio web de los desarrolladores, pues ahí pueden encontrar el enlace a la app oficial. Si no es posible para el usuario corroborar la autenticidad del software, se recomienda no descargar/instalar la aplicación.

(Visited 104,1 times)