Investigadores de ciberseguridad descubrieron una aplicaci\u00f3n maliciosa de Android en Google Play Store que permiti\u00f3 a los actores de amenazas detr\u00e1s de ella robar aproximadamente $70,000 en criptomonedas de las v\u00edctimas durante un per\u00edodo de casi cinco meses.<\/p>\n
La dudosa aplicaci\u00f3n, identificada por Check Point, se hizo pasar por leg\u00edtima MonederoConectar<\/a> protocolo de c\u00f3digo abierto para enga\u00f1ar a usuarios desprevenidos para que lo descarguen.<\/p>\n “Las rese\u00f1as falsas y una marca consistente ayudaron a que la aplicaci\u00f3n lograra m\u00e1s de 10.000 descargas y ocupara un lugar destacado en los resultados de b\u00fasqueda”, dijo la empresa de ciberseguridad. dicho<\/a> en un an\u00e1lisis, agrega que es la primera vez que un drenaje de criptomonedas se dirige exclusivamente a usuarios de dispositivos m\u00f3viles.<\/p>\n Se estima que m\u00e1s de 150 usuarios fueron v\u00edctimas de la estafa, aunque se cree que no todos los usuarios que descargaron la aplicaci\u00f3n se vieron afectados por el drenaje de criptomonedas.<\/p>\n La campa\u00f1a implic\u00f3 la distribuci\u00f3n de una aplicaci\u00f3n enga\u00f1osa que ten\u00eda varios nombres, como “Mestox Calculator”, https:\/\/thehackernews.com\/2024\/09\/”WalletConnect – DeFi & NFTs” y “WalletConnect – Airdrop Wallet” (co.median .android.rxqnqb).<\/p>\n Si bien la aplicaci\u00f3n ya no est\u00e1 disponible para descargar desde el mercado oficial de aplicaciones, los datos de SensorTower muestra<\/a> que era popular en Nigeria, Portugal y Ucrania, y estaba vinculado a un desarrollador llamado UNS LIS<\/a>.<\/p>\n El desarrollador tambi\u00e9n se ha asociado con otra aplicaci\u00f3n de Android llamada “Uniswap DeFI” (com.lis.uniswapconverter) que permaneci\u00f3 activa en Play Store durante aproximadamente un mes entre mayo y junio de 2023. Actualmente no se sabe si la aplicaci\u00f3n ten\u00eda alguna funcionalidad maliciosa. .<\/p>\n Sin embargo, ambas aplicaciones se pueden descargar desde fuentes de tiendas de aplicaciones de terceros, lo que resalta una vez m\u00e1s los riesgos que plantea la descarga de archivos APK desde otros mercados.<\/p>\n Una vez instalada, la aplicaci\u00f3n falsa WallConnect est\u00e1 dise\u00f1ada para redirigir a los usuarios a un sitio web falso en funci\u00f3n de su direcci\u00f3n IP y cadena de agente de usuario y, de ser as\u00ed, redirigirlos por segunda vez a otro sitio que imita a Web3Inbox.<\/p>\n Los usuarios que no cumplen con los criterios requeridos, incluidos aquellos que visitan la URL desde un navegador web de escritorio, son dirigidos a un sitio web leg\u00edtimo para evadir la detecci\u00f3n, lo que permite efectivamente a los actores de amenazas eludir el proceso de revisi\u00f3n de la aplicaci\u00f3n en Play Store.<\/p>\n Adem\u00e1s de tomar medidas para evitar el an\u00e1lisis y la depuraci\u00f3n, el componente principal del malware es un drenaje de criptomonedas conocido como MS Drainer, que solicita a los usuarios que conecten su billetera y firmen varias transacciones para verificar su billetera.<\/p>\n La informaci\u00f3n ingresada por la v\u00edctima en cada paso se transmite a un servidor de comando y control (cakeserver[.]online) que, a su vez, env\u00eda una respuesta que contiene instrucciones para desencadenar transacciones maliciosas en el dispositivo y transferir los fondos a una direcci\u00f3n de billetera perteneciente a los atacantes.<\/p>\n “Al igual que el robo de criptomonedas nativas, la aplicaci\u00f3n maliciosa primero enga\u00f1a al usuario para que firme una transacci\u00f3n en su billetera”, dijeron los investigadores de Check Point.<\/p>\n “A trav\u00e9s de esta transacci\u00f3n, la v\u00edctima otorga permiso a la direcci\u00f3n del atacante 0xf721d710e7C27323CC0AeE847bA01147b0fb8dBF (el campo ‘Direcci\u00f3n’ en la configuraci\u00f3n) para transferir la cantidad m\u00e1xima del activo especificado (si lo permite su contrato inteligente)”.<\/p>\n En el siguiente paso, los tokens de la billetera de la v\u00edctima se transfieren a una billetera diferente (0xfac247a19Cc49dbA87130336d3fd8dc8b6b944e1) controlada por los atacantes.<\/p>\n Esto tambi\u00e9n significa que si la v\u00edctima no revoca el permiso para retirar tokens de su billetera, los atacantes pueden seguir retirando los activos digitales tan pronto como aparezcan sin requerir ninguna acci\u00f3n adicional.<\/p>\n Check Point dijo que tambi\u00e9n identific\u00f3 otra aplicaci\u00f3n maliciosa que presenta caracter\u00edsticas similares, “Walletconnect | Web3Inbox” (co.median.android.kaebpq), que anteriormente estaba disponible en Google Play Store en febrero de 2024. Atrajo m\u00e1s de 5.000 descargas.<\/p>\n “Este incidente resalta la creciente sofisticaci\u00f3n de las t\u00e1cticas cibercriminales, particularmente en el \u00e1mbito de las finanzas descentralizadas, donde los usuarios a menudo dependen de herramientas y protocolos de terceros para administrar sus activos digitales”, se\u00f1al\u00f3 la compa\u00f1\u00eda.<\/p>\n “La aplicaci\u00f3n maliciosa no se bas\u00f3 en vectores de ataque tradicionales como permisos o registro de teclas. En cambio, utiliz\u00f3 contratos inteligentes y enlaces profundos para drenar silenciosamente los activos una vez que los usuarios fueron enga\u00f1ados para que usaran la aplicaci\u00f3n”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/La-aplicacion-Crypto-Scam-disfrazada-de-WalletConnect-roba-70.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\n<\/a><\/center><\/section>\n