Por primera vez, investigadores de seguridad han descubierto malware de exfiltración de criptomonedas oculto en una aplicación de Google Play dirigida únicamente a usuarios móviles.
La aplicación en cuestión, Wallet Connect, se descargó más de 10.000 veces y robó aproximadamente 70.000 dólares en criptomonedas de las víctimas antes de ser eliminada por Google, según Check Point Research (CPR).
El malware, subido por primera vez en marzo de 2024, fue diseñado para imitar el protocolo legítimo de código abierto Web3, WalletConnect, y parece no haber sido detectado durante cinco meses.
Ha sido desarrollado para evadir la detección tanto de sistemas automáticos como de búsquedas manuales mediante técnicas de redirección y verificación de agentes de usuario.
Lea más sobre las filtraciones de criptomonedas: Los filtradores de criptomonedas roban 59 millones de dólares a través de anuncios de Google y X
Genuine Wallet Connect fue desarrollado para facilitar la conexión de aplicaciones descentralizadas y billeteras de criptomonedas. Sin embargo, CPR dice que todavía es difícil para los usuarios ya que no todas las billeteras lo admiten y algunas no tienen la última versión.
“Los atacantes explotaron inteligentemente la complejidad de WalletConnect y engañaron a los usuarios haciéndoles creer que había una solución simple: una aplicación WalletConnect falsa ubicada en Google Play”.
Una vez que las víctimas descargan la versión maliciosa, se les pide que conecten su billetera de criptomonedas y se les dirige en secreto a un sitio web malicioso.
“Luego se le pedirá al usuario que confirme la billetera seleccionada y apruebe algunas transacciones”, explicó CPR.
“Cada acción del usuario envía un mensaje cifrado a un servidor de comando y control (C&C) para recuperar detalles sobre la billetera, la red blockchain y la dirección del usuario”.
El malware parece haber sido diseñado para retirar primero tokens criptográficos de alto valor y luego pasar a otros tokens, ejecutando el proceso en todas las redes blockchain asociadas.
“De los usuarios cuyo dinero fue robado, sólo 20 dejaron críticas negativas en Google Play. Esto puede significar que todavía hay muchas víctimas que aún no saben qué pasó con su dinero”, advirtió CPR.
“Cuando una aplicación recibe críticas negativas, en lugar de ocultarlas, los desarrolladores de malware inundan la página con críticas positivas falsas para que la aplicación parezca legítima y luego la eliminan”.
https://www.infosecurity-magazine.com/news/first-mobile-crypto-drainer-google/
