Un actor de amenazas técnicamente sofisticado conocido como Anémona de mar ha estado apuntando a los usuarios de Android e iOS como parte de una extensa campaña que imita los sitios web oficiales de billeteras de criptomonedas con la intención de distribuir aplicaciones de puerta trasera que agotan los fondos de las víctimas.
Se dice que se descubrió por primera vez en marzo de 2022, el grupo de actividad «sugerencia[s] a una fuerte relación con una entidad de habla china aún por descubrir», según los nombres de usuario de macOS, los comentarios del código fuente en el código de puerta trasera y su abuso de la red de entrega de contenido (CDN) de Alibaba.
«A partir de hoy, el principal objetivo actual de SeaFlower es modificar las billeteras Web3 con un código de puerta trasera que finalmente filtra la frase inicial», Taha Karim de Confiant. dijo en una inmersión técnica profunda de la campaña.
Las aplicaciones dirigidas incluyen versiones de Android e iOS de Coinbase Wallet, MetaMask, TokenPocket e imToken.
El modus operandi de SeaFlower implica la creación de sitios web clonados que actúan como un conducto para descargar versiones troyanizadas de las aplicaciones de billetera que prácticamente no han cambiado con respecto a sus contrapartes originales, excepto por la adición de un nuevo código diseñado para filtrar la frase inicial a un dominio remoto.
La actividad maliciosa también está diseñada para atacar a los usuarios de iOS por medio de perfiles de aprovisionamiento que permiten que las aplicaciones se transfieran a los dispositivos.
En cuanto a cómo los usuarios se topan con estos sitios web que ofrecen billeteras fraudulentas, el ataque aprovecha las técnicas de envenenamiento de SEO en los motores de búsqueda chinos como Baidu y Sogou para que las búsquedas de términos como «descargar MetaMask iOS» estén manipuladas para mostrar las páginas de descarga oculta en la parte superior. de la página de resultados de búsqueda.
En todo caso, la divulgación destaca una vez más cómo los actores de amenazas están poniendo cada vez más su mirada en las populares plataformas Web3 en un intento de saquear datos confidenciales y transferir engañosamente fondos virtuales.