Se ha revelado una sofisticada operación de robo de criptomonedas cuando llega un nuevo teléfono inteligente Android con malware preinstalado como una aplicación legítima de WhatsApp.
Los actores de amenaza se han infiltrado en las cadenas de suministro de varios fabricantes de teléfonos inteligentes chinos e incrustan el código malicioso directamente en aplicaciones del sistema en el dispositivo antes de llegar a los consumidores.
Desde junio de 2024, el Instituto Virus de Doctor Web ha recibido numerosos informes de clientes que descubrieron instalaciones sospechosas de WhatsApp en sus teléfonos Android recién comprados.
Compromiso de la cadena de suministro
La investigación revela que estos no son casos aislados, sino parte de una campaña coordinada dirigida a usuarios de criptomonedas a través de una técnica conocida como “recorte”.
Los dispositivos afectados son teléfonos inteligentes de bajo costo con marca engañosa que imita modelos premium, principalmente el S23 Ultra, Note 13 Pro y P70 Ultra.
Muchos fabricantes tienen muchos dispositivos comprometidos fabricados bajo la marca Showji, pero muchos fabricantes siguen siendo desconocidos.
Las aplicaciones se utilizan para falsificar las especificaciones técnicas de un dispositivo y los resultados de su comportamiento.
Los teléfonos Android están preinstalados
El atacante aprovechó el marco LSPatch para modificar WhatsApp sin modificar el código primario y, en su lugar, cargó módulos maliciosos adicionales.
El componente malicioso central, identificado como com.whatshook.apk, realiza varias funciones importantes que permiten el robo de criptomonedas.
Según un informe del Dr. Web, las actualizaciones de aplicaciones de secuestro de malware redirigen las comprobaciones de actualizaciones de servidores legítimos de WhatsApp a dominios controlados por atacantes.
El análisis de código reveló cómo reemplazar las URL de actualización legal como hxxps: //www.whatsapp.com/android/current/whatsapp.apk con alternativas maliciosas como (hxxps: //apk-dowload.pro/download/whatsapp (.) Apk).
Cómo secuestrarlo, solicitará un servidor de actualización legítimo
Clases que intercambian direcciones falsas con direcciones de actualización legítimas
El principal mecanismo de robo del troyano incluye rutinas de análisis sofisticadas que escanean los mensajes receptores y salientes para las direcciones de la billetera de criptomonedas, específicamente que se dirige a Trons (una cadena de 34 caracteres que comienzan con “T”) y Ethereum (una cadena de 42 caracteres que comienzan con “0x”).
Si se detectan, estas direcciones son reemplazadas en silencio por billeteras controladas por el atacante como TN7PFenJ1EPPJOPFAEU46PXJT9RHYDQW66 y 0X673DB7ED16A13A137D39401A085892D5E1F0FCA.
Más allá de la manipulación de la dirección de la billetera, el malware busca sistemáticamente el directorio de almacenamiento de su dispositivo que contiene archivos de imagen, como DCIM, fotos, descargas, capturas de pantalla y más.
Esta característica está destinada a frases de recuperación de criptomonedas que los usuarios a menudo toman por error en lugar de grabar de manera segura.
Investigadores del Dr. Webb llamaron a String Log.e (“,“ ———— ————————————————————————————————————————————————————————————————————————————————————————————————————————————————————— —————————————————————————————————————————————————————————————————————————————————————————————————————————————————————
La campaña es extensa, con más de 60 servidores de comando y control y alrededor de 30 dominios para la entrega de malware.
El análisis financiero de las billeteras de criptomonedas relacionadas reveló beneficios significativos, con una billetera acumulada más de $ 1 millón en los últimos dos años y otra billetera que contiene $ 500,000.
Recomendaciones de protección
Los expertos en seguridad aconsejan a los consumidores:
Evite los teléfonos inteligentes sospechosamente baratos con especificaciones que no coincidan con la descarga de precios solo de fuentes de confianza, como el software de seguridad móvil de Google Play, como Dr.Web Security Space, no almacenará capturas de pantalla con frases mnemónicas o claves de criptomonedas en su dispositivo móvil
A medida que la adopción de criptomonedas continúa creciendo a nivel mundial, con alrededor del 20% de las personas en los países desarrollados que usan moneda digital, este ataque de la cadena de suministro expresa preocupaciones sobre las tácticas evolutivas de los actores de amenazas dirigidos a los activos financieros.
¡Haz que esta noticia sea interesante! ¡Síganos en Google News, LinkedIn y X para obtener actualizaciones instantáneas!
