Tecnologia  Apps Falsas 

Los ladrones de criptomonedas intensifican sus ataques contra usuarios de Apple

Aunque guardes tus criptoactivos en una cartera fría y utilices dispositivos de Apple, los cuales gozan de una sólida reputación en materia de seguridad, los ciberdelincuentes aún pueden encontrar la forma de robar tus fondos. Estos actores maliciosos están combinando técnicas conocidas en nuevas cadenas de ataque, incluso atrayendo a las víctimas directamente dentro de la App Store.

Clones de carteras de criptomonedas
El pasado marzo detectamos aplicaciones de phishing en los primeros puestos de las listas de la App Store china, con iconos y nombres que imitaban a populares herramientas de administración de carteras de criptomonedas. Los atacantes han aprovechado el vacío que dejaron las restricciones regionales que bloquean varias aplicaciones oficiales de carteras en la App Store china. Crearon aplicaciones falsas con iconos similares a los originales y nombres con faltas de ortografía intencionadas, probablemente para eludir la moderación de la App Store y engañar a los usuarios.

Aplicaciones de phishing en la App Store que aparecen en los resultados de búsqueda de Ledger Wallet (antes Ledger Live)

Además de las mencionadas, encontramos varias aplicaciones con nombres e iconos que no tenían ninguna relación con las criptomonedas. Sin embargo, sus banners promocionales afirmaban que podían usarse para descargar e instalar aplicaciones oficiales de carteras que, de otro modo, no están disponibles en la App Store de la región.

En total, identificamos 26 aplicaciones de phishing que imitan a las siguientes carteras populares:

MetaMask
Ledger
Trust Wallet
Coinbase
TokenPocket
imToken
Bitpie
Algunas otras aplicaciones muy similares aún no incluían funcionalidades de phishing, pero todo indica que están vinculadas a los mismos atacantes. Es probable que planeen añadir funciones maliciosas en actualizaciones futuras.

Para conseguir que estas aplicaciones pasaran la revisión de la App Store, los desarrolladores añadieron funcionalidades básicas, como un juego, una calculadora o un planificador de tareas.

Instalar cualquiera de estos clones es el primer paso hacia la pérdida de tus criptoactivos. Aunque estas aplicaciones no roban directamente criptomonedas, frases semilla ni contraseñas, actúan como señuelo para generar confianza en los usuarios por el hecho de estar en la App Store oficial. Sin embargo, una vez instalada y ejecutada, la aplicación abre en el navegador de la víctima una página de phishing que imita a la App Store y que le pide instalar una versión vulnerada de la cartera de criptomonedas en cuestión. Los atacantes han creado varias versiones de estos módulos maliciosos, cada una adaptada a una cartera específica. Puedes encontrar un análisis técnico detallado de este ataque en nuestra publicación de Securelist.
Un sitio falso de la App Store que le solicita al usuario instalar una aplicación que se hace pasar por Ledger Wallet

Si la víctima cae en el engaño, primero se le pide instalar un perfil de aprovisionamiento, que permite instalar aplicaciones en el iPhone fuera de la App Store. Ese perfil se utiliza después para instalar la propia aplicación maliciosa.

En el ejemplo anterior, el malware se basa en la aplicación Ledger original con funcionalidad troyana integrada. La aplicación es idéntica a la original, pero cuando se conecta a una cartera de hardware, muestra una ventana que solicita la frase semilla, supuestamente para restaurar el acceso. Este no es un procedimiento estándar: generalmente, solo necesitas introducir un PIN, nunca una frase de recuperación. Si la víctima confía en la aparente legitimidad de la aplicación e introduce su frase semilla, se envía inmediatamente al servidor de los atacantes, lo que les otorga acceso completo a los criptoactivos.

 

Tambien en Calibrando La Actualidad