Debido a la seguridad, la dirección de la billetera virtual está formada por un largo número de caracteres. Con frecuencia, los usuarios los toman directamente del portapapeles de sus dispositivos, en lugar de escribirlos, pero sin que ellos lo sepan, existe un malware llamado «clipper» que se beneficia de esto. El hombre lleva consigo un portapapeles y, de manera encubierta, lo reemplaza con otros datos del agresor. En el contexto de los intercambios de criptomonedas, los individuos que se ven afectados por el problema pueden ver el dinero fluir directamente hacia las cuentas de personas deshonestas.
Esta forma de malware peligroso apareció por primera vez en la plataforma Windows en el año 2017 y fue detectada en varias tiendas de aplicaciones dudosas de Android en el verano de 2018. Este año, sin embargo, se ha lanzado el primer malware clipper (un programa que almacena todo lo que se introduce en la memoria del dispositivo en .clipboard) en la tienda oficial de Android, Google Play.
Esta es una nueva forma de malware relativamente reciente que se basa en copiar el contenido del portapapeles, pero que los ladrones de criptomonedas utilizan. Los especialistas de ESET también detectaron este tipo de malware en download.cnet.com, un sitio web de alojamiento de software que goza de gran popularidad en todo el planeta. El primer cuchillo para Android fue exhibido en agosto de 2018, fue puesto a la venta en un foro clandestino de piratería y se ha encontrado en tiendas de aplicaciones menos conocidas desde entonces.
Copiar y robar en lugar de copiar y pegar
El Clipper recién descubierto, detectado por las soluciones de seguridad de ESET como Android/Clipper.C, se beneficia de que quienes ejecutan este tipo de operaciones criptográficas no necesitan ingresar manualmente los datos de la billetera Bitcoin. Los individuos acostumbran a teclear estos datos copiando y pegando directamente desde el portapapeles, en vez de escribirlos, y el malware puede reemplazar la dirección correcta con una que sea de el atacante.
Afortunadamente, pudimos detectar este malware justo después de que se liberara en la tienda oficial de Android el 1 de febrero de 2019. En seguida, dimos aviso al equipo de seguridad de Google Play sobre el malware, que eliminó la aplicación de la tienda.
Este procedimiento se dirige a los individuos que desean una versión móvil del servicio MetaMask, MetaMask es un servicio que permite a las aplicaciones descentralizadas de ethereum ejecutarse en navegadores sin tener que ejecutar un nodo completo de ethereum. Actualmente, no se puede acceder a él desde dispositivos móviles, solo se puede usar como complemento para navegadores de escritorio como Chrome y Firefox.
Varias aplicaciones que se promocionan como MetaMask han sido añadidas al Google Play en el pasado. Sin embargo, su único objetivo es robar datos privados de los usuarios para acceder a sus fondos de criptomonedas.
Algunas sugerencias
Esta primera aparición del malware clipper en Google Play sirve como una fuerte invitación para que los usuarios de dispositivos Android encuentren mejores prácticas para la seguridad de sus dispositivos.
Para protegerse de dichos programas y otros programas maliciosos de Android, le recomendamos:
- Mantenga su dispositivo Android actualizado con actualizaciones y use una solución de seguridad móvil confiable
- Descargue aplicaciones solo desde la tienda oficial de Google Play
- Compruebe siempre si hay un enlace a la aplicación oficial en el sitio web oficial del desarrollador de la aplicación o del proveedor de servicios. Si no, tómalo como una advertencia y ten mucho cuidado con las aplicaciones que instalas.
- Tenga cuidado en cada etapa de una transacción que involucre algo de valor, desde información confidencial hasta dinero. Siempre verifique qué notas está compartiendo en varios sitios
indicadores de compromiso
El nombre del paquete: com.lemon.metamask
clave: 24D7783AAF34884677A601D487473F88
Dirección de Bitcoin: 17M66AG2uQ5YZLFEMKGpzbzh4F1EsFWkmA
dirección ETH: 0xfbbb2EF692B5101f16d3632f836461904C761965