Los investigadores de seguridad han encontrado por primera vez un malware crypto drainer dirigido exclusivamente a usuarios de dispositivos móviles, después de descubrirlo oculto en una aplicación en Google Play.
Check Point Research (CPR) dijo que la aplicación en cuestión, WalletConnect, acumuló más de 10.000 descargas y robó alrededor de 70.000 dólares en criptomonedas a las víctimas, hasta que fue eliminada por Google.
Cargado por primera vez en marzo de 2024, fue diseñado para imitar el protocolo legítimo de código abierto Web3 WalletConnect, y aparentemente pasó desapercibido durante cinco meses.
Fue desarrollado para evitar la detección tanto por sistemas automatizados como por búsquedas manuales, a través de redirecciones y técnicas de verificación de agente de usuario.
Más información sobre los drenadores de criptomonedas: Un drenador de criptomonedas roba 59 millones de dólares a través de anuncios de Google y X
El WalletConnect legítimo fue desarrollado para facilitar la conexión de aplicaciones descentralizadas con monederos de criptomonedas. Sin embargo, los usuarios aún lo encuentran complicado porque no todos los monederos lo admiten y algunos no tienen la última versión, dijo CPR.
“Hábilmente, los atacantes explotaron las complicaciones de WalletConnect y engañaron a los usuarios haciéndoles creer que había una solución fácil: la aplicación WalletConnect falsificada en Google Play”, continuó.
Cuando las víctimas descargan la versión maliciosa, se les solicita que conecten su billetera de criptomonedas, que las dirige de forma encubierta a un sitio web malicioso.
“Los usuarios luego deben verificar la billetera seleccionada y se les pide que autoricen varias transacciones”, explicó CPR.
“Cada acción del usuario envía mensajes cifrados al servidor de comando y control (C&C) y recupera detalles sobre la billetera del usuario, las redes blockchain y las direcciones”.
Aparentemente, el malware fue diseñado para retirar primero los tokens criptográficos más caros, antes de pasar a los demás y realizar el proceso en todas las redes blockchain relevantes.
“Solo 20 usuarios a quienes les robaron su dinero dejaron comentarios negativos en Google Play, lo que sugiere que aún hay muchas víctimas que podrían desconocer qué sucedió con su dinero”, advirtió CPR.
“Cuando la aplicación recibió críticas tan negativas, los desarrolladores del malware inundaron la página con críticas positivas falsas para ocultar las críticas negativas y hacer que la aplicación pareciera legítima, con el fin de engañar a otras posibles víctimas. Google Play eliminó la aplicación desde entonces”.
