Una semana algo interesante para los usuarios de Android termina con más malas noticias. Inmediatamente detrás de Necro, un peligroso troyano que se esconde dentro de Play Store, ahora tenemos otra amenaza que ha vencido las defensas de Google y ha engañado a los usuarios para que se pongan a sí mismos, a sus dispositivos y, en este caso, a sus criptomonedas en riesgo.
Check Point Research advierte que esto es «una llamada de atención para toda la comunidad de activos digitales», ya que descubrió el primer drenaje de criptomonedas de Play Store dirigido solo a usuarios móviles. Esta «escalada significativa en las tácticas utilizadas por los ciberdelincuentes», dicen, marca «el panorama en rápida evolución de las amenazas cibernéticas en las finanzas descentralizadas». La aplicación ahora se eliminó de Play Store, pero la advertencia sigue siendo muy real.
Como vimos con Necro, esta última amenaza despliega “técnicas de evasión modernas para evitar la detección”, que de manera alarmante parecen haberle dado una ejecución de cinco meses en Play Store. Esta aplicación específica era bastante especializada y pretendía simplificar el uso del protocolo Web3 WalletConnect, que conecta aplicaciones descentralizadas y billeteras de usuarios.
«No todas las billeteras son compatibles con WalletConnect», explica Check Point. «Hábilmente, los atacantes explotaron las complicaciones de WalletConnect y engañaron a los usuarios haciéndoles pensar que había una solución fácil: la aplicación WalletConnect falsificada en Google Play».
La aplicación maliciosa llegó por primera vez a Play Store en marzo de este año y se instaló al menos 10.000 veces y robó al menos 70.000 dólares. Como siempre, lo que no sabemos es el nivel de actividad fuera de Play Store, pero la naturaleza muy específica de esta campaña es positiva ya que una vez que los usuarios comprenden las amenazas, no se les puede engañar nuevamente, como se esperaría. Si bien las cifras actuales son modestas, esta es la primera vez. Puede esperar más de esto, por lo que la advertencia para evitar conectar aplicaciones no verificadas a billeteras es clara.
Cualquier aplicación maliciosa que se conecte a billeteras digitales como función principal está comenzando mucho antes de la línea y es probable que sea efectiva rápidamente. “La aplicación maliciosa activa la billetera elegida”, dice Check Point, “y la dirige a un sitio web malicioso. Luego, los usuarios deben verificar la billetera seleccionada y se les pide que autoricen varias transacciones”.
Cada acción del usuario activaba comunicaciones con el servidor de comando y control que impulsa la aplicación, «recuperando detalles sobre la billetera, las redes blockchain y las direcciones del usuario». Check Point dice que la aplicación retiró «tokens más caros antes de apuntar a los menos costosos», asegurando que los activos más valiosos fueran robados lo más rápido posible, en caso de que la aplicación fuera descubierta y detenida.
Hasta ahora, el número de víctimas identificadas es limitado, aunque hubo menos críticas negativas en Play Store que en casos conocidos, lo cual es sorprendente. Obviamente, la aplicación ahora se eliminó y es seguro que Play Protect se ha preparado en caso de que haya una próxima vez. Le pedí a Google comentarios adicionales sobre el informe de Check Point.
Check Point dice que el atractivo de las «finanzas descentralizadas» impulsa «una creciente sofisticación de las tácticas cibercriminales». Lo que es más preocupante es que “las herramientas convencionales como la Búsqueda de Google, Shodan y las comprobaciones automáticas a menudo no logran identificar dichas amenazas… Esto hace que sea casi imposible que los sistemas automatizados y las búsquedas manuales las detecten”.
Android 15 llegará el próximo mes, al menos para algunos usuarios, con una serie de nuevas actualizaciones de seguridad; Mientras tanto, Play Store ha prometido eliminar aplicaciones de baja calidad. Ambas medidas, más las mejoras en curso en el escaneo antes de que las aplicaciones lleguen a la tienda, deben hacer un mejor trabajo para mantener a raya estas amenazas.