Bitcoin se disparó en mayo de 2019 y los precios alcanzaron su punto más bajo desde septiembre de 2018. Como era de esperar, los ciberdelincuentes se dieron cuenta rápidamente de este crecimiento y comenzaron a intensificar sus esfuerzos para apuntar directamente a los usuarios de criptomonedas a través de varias estafas y aplicaciones maliciosas.
Un usuario de Reddit descubrió recientemente una aplicación de este tipo en Google Play Store, dirigida a los usuarios de la billetera de hardware de criptomonedas Trezor. La aplicación se llama «Trezor Mobile Wallet». No se había visto antes ningún otro malware que usara esta bandera, y teníamos curiosidad acerca de las capacidades de tales aplicaciones no autorizadas. La billetera de hardware proporcionada por Trezor requiere administración física y conocimiento de la autenticación de PIN o la llamada «semilla» para acceder a los fondos almacenados. Se aplican restricciones similares a su aplicación oficial «TREZOR Manager».
Al analizar la aplicación falsa, encontramos que:
- No puede dañar a los usuarios de Trezor, gracias a las múltiples capas de seguridad que tienen estas billeteras.
- Tiene enlaces a una aplicación de billetera electrónica falsa llamada «Coin Wallet – Bitcoin, Ripple, Ethereum, Tether» que es capaz de extorsionar a los usuarios.
- Ambas aplicaciones se crearon en base a un modelo de aplicación vendido en línea.
Reportamos la aplicación falsa a los equipos de seguridad de Google y contactamos a Trezor para publicar este artículo de blog. Trezor confirmó que la aplicación falsa no representaba una amenaza directa para sus usuarios. Sin embargo, han expresado su preocupación de que las direcciones de correo electrónico recopiladas por aplicaciones falsas como esta puedan usarse indebidamente para campañas de phishing dirigidas a usuarios de Trezor.
En el momento de escribir este artículo, ni las aplicaciones Trezor ni Coin Wallet estaban disponibles en Google Play.
Aplicación falsa Trezor
La aplicación que dice ser una billetera virtual para Trezor se cargó en Google Play el 1 de mayo de 2019, con el nombre de desarrollador «Trezor Inc.», como se muestra en la Figura 1. En general, la página de la aplicación en Google Play inspira confianza: El desarrollador El nombre, la categoría, la descripción y todas las imágenes parecían auténticos a primera vista. En el momento de nuestro análisis, la aplicación falsa ocupaba incluso el segundo lugar en los resultados de búsqueda de la palabra «Vault» en Google Play, justo después de la aplicación oficial.
¿Cómo funciona la aplicación?
Toda la persuasión se hizo mientras buscaba la aplicación en Google Play. Después de la instalación, el ícono que aparece en las pantallas de los usuarios es diferente al que se muestra en Google Play, lo que sirve como un claro indicador de que algo anda mal. El texto «Monedero de monedas» se puede encontrar en el icono de la aplicación instalada, como se muestra en la Figura 2.
Además, cuando los usuarios inician la aplicación, aparece una pantalla de inicio de sesión genérica sin mencionar a Trezor, como se muestra en la Figura 3. Este es otro indicador de que no estamos tratando con una aplicación legítima. Esta pantalla genérica se utiliza para recopilar las credenciales de inicio de sesión, pero no está claro qué tipo de credenciales se recopilan y para qué podrían ser utilizadas por los atacantes. En cualquier caso, la aplicación guarda cualquier tipo de dato ingresado y lo envía al servidor del atacante, como se muestra en la Figura 4.
Como se muestra en la Figura 4, el servidor utilizado para recopilar credenciales mediante la aplicación falsa está alojado en coinwalletinc. [.] Com. El análisis de este dominio nos llevó a otra aplicación fraudulenta, llamada «Coin Wallet» en su sitio web y «Wallet Coin – Bitcoin, Ripple, Ethereum, Tether» en Google Play.
aplicación monedero
Las dos aplicaciones descritas en la sección anterior tienen mucho en común: además de usar el mismo servidor, también comparten similitudes en código e interfaz. La aplicación Coin Wallet usa el mismo icono que vimos al instalar la aplicación Trezor falsa.
En su sitio web, la aplicación Coin Wallet se describe como «la billetera de monedas líder en el mundo» (Figura 5).
El sitio web contiene un enlace a Google Play, donde la aplicación estuvo disponible desde el 7 de febrero de 2019 hasta el 5 de mayo de 2019 con el nombre «Coin Wallet – Bitcoin, Ripple, Ethereum, Tether», como se muestra en la Figura 6. Durante este período, ha sido instalado por más de 1000 usuarios.
El sitio web también parece tener un enlace a la tienda oficial de Apple, pero si hacemos clic en el botón «Disponible en la tienda de aplicaciones», se nos lleva a la URL de una imagen PNG.
¿Qué hace realmente la aplicación?
La aplicación afirma que permite a los usuarios crear billeteras para varias monedas virtuales. Sin embargo, su propósito real es engañar a los usuarios para que transfieran criptomonedas a la billetera del atacante, un tipo de estafa de billetera virtual que también se analiza en nuestro último informe de investigación de malware de criptomonedas.
El funcionamiento de la aplicación es bastante simple: afirma generar una dirección de billetera virtual única donde los usuarios pueden transferir fondos. De hecho, esta dirección pertenece a los atacantes, y solo ellos poseen las claves privadas que permiten el acceso a los fondos. El atacante tenía una billetera para cada moneda en el mercado (13 billeteras en total) y todas las víctimas recibieron la misma dirección de billetera virtual.
Mirando los gráficos de estas aplicaciones no autorizadas que se presentan en este artículo, podemos concluir que todas se crearon sobre la misma base. Una simple búsqueda en Google de «plantilla de aplicación de billetera» produce una plantilla que cualquiera puede comprar por $40. La plantilla en sí es bastante buena, pero los autores de la campaña la están utilizando con fines maliciosos, por lo que podemos ver cómo se puede crear una aplicación engañosa de forma rápida y económica utilizando material útil en Internet.
Cómo mantenerse a salvo
Si Bitcoin continúa su tendencia al alza, podemos esperar que aparezcan más aplicaciones fraudulentas de este tipo en la tienda oficial de aplicaciones de Android o en otros lugares. Al instalar aplicaciones, es importante seguir algunos principios básicos de seguridad, especialmente cuando su dinero está en juego.
WHATSAPP CU.BLUE / CLONE
com.whatsapp