ESET, companyia experta en ciberseguretat, ha descobert i rastrejat un sofisticat complot maliciós de criptomonedes que es dirigeix a dispositius mòbils amb sistemes operatius Android o iOS (iPhones). Les aplicacions malicioses es distribueixen a través de pàgines web falses, imitant serveis de moneders legítims com Metamask, Coinbase, Trust Wallet, TokenPocket, Bitpie, imToken i OneKey. Aquests llocs web falsos es promocionen amb anuncis col·locats en pàgines legítimes utilitzant articles enganyosos. A més, els responsables de l'amenaça estan reclutant intermediaris a través de grups de Telegram i Facebook per continuar distribuint aquest entramat maliciós.
L'objectiu principal de les aplicacions malicioses és robar els fons dels usuaris i, fins ara, ESET Research ha observat que aquest esquema es dirigeix principalment als usuaris xinesos. Com les criptomonedes estan guanyant popularitat, ESET espera que aquestes tècniques s'estenguin a altres mercats. A principis de maig de 2021, una recerca d'ESET va descobrir dotzenes d'aplicacions de moneders de criptomonedes troyanitzats. Es tracta d'un vector d'atac sofisticat, ja que l'autor del malware elabora una anàlisi en profunditat de les aplicacions legítimes usades indegudament en aquest entramat, permetent la inserció del seu propi codi maliciós en llocs difícils de detectar, al mateix temps que s'assegura que aquestes aplicacions manipulades tenen la mateixa funcionalitat que les originals. En aquest moment, ESET Research creu que és probable que això correspongui amb el treball d'un únic grup criminal.
«Aquestes aplicacions malicioses també representen una altra amenaça per a les víctimes, ja que algunes d'elles envien contrasenyes de la víctima al servidor dels atacants utilitzant una connexió HTTP no segura. Això significa que els dipòsits de les víctimes podrien ser robats no només per l'operador d'aquest entramat, sinó també per un atacant diferent que espiï en la mateixa xarxa», afirma Lukáš Štefanko, investigador d'ESET que ha descobert aquesta operació. «També hem trobat 13 aplicacions malicioses que suplanten al moneder Jaxx Liberty. Aquestes aplicacions estaven disponibles a la botiga Google Play», afegeix.
A Telegram, una aplicació de missatgeria multiplataforma gratuïta i popular amb característiques de privacitat i xifratge millorades, ESET ha descobert dotzenes de grups que promocionen còpies malicioses de moneders mòbils de criptomonedes. És de suposar que aquests grups van ser creats per l'autor de l'amenaça que està darrere d'aquest complot a la recerca de més socis de distribució, ja que aquesta activitat està en curs des de maig de 2021. A principis d'octubre de 2021, la companyia de ciberseguretat va descobrir que aquests grups de Telegram es compartien i promocionaven en almenys 56 grups de Facebook amb el mateix objectiu: buscar més socis de distribució. El novembre de 2021 ESET també va detectar la distribució de moneders maliciosos utilitzant dues pàgines web xineses legítimes. A més d'aquests vectors de distribució, ESET ha descobert dotzenes d'altres pàgines web de moneders falsos que es dirigeixen exclusivament als usuaris de mòbils. La visita a un d'aquests llocs web pot portar a una víctima potencial a descarregar una aplicació de moneder troyanitzada per a Android i iOS.
Diferent comportament en funció del sistema operatiu
L'aplicació maliciosa es comporta de manera diferent segons el sistema operatiu en el qual s'hagi instal·lat. En el sistema Android, sembla dirigir-se als nous usuaris de criptomonedes que encara no tenen una aplicació de moneder legítima instal·lada en els seus dispositius. A iOS, la víctima pot tenir instal·lades totes dues versions: la legítima des de l'App Store i la maliciosa des d'un lloc web. Quant a iOS, aquestes aplicacions malicioses no estan disponibles en l'App Store; han de descarregar-se i instal·lar-se mitjançant perfils de configuració, que afegeixen un certificat de signatura de codi de confiança arbitrari. Pel que fa a Google Play, arran de la nostra sol·licitud com a soci de Google App Defense Alliance, el gener de 2022, Google ha eliminat 13 aplicacions malicioses trobades a la botiga oficial.
A més, sembla que el codi font d'aquesta amenaça s'ha filtrat i compartit en alguns llocs web xinesos, la qual cosa podria atreure a diversos atacants i propagar aquesta amenaça encara més. «Actualment, el preu del bitcoin ha disminuït gairebé a la meitat des del seu màxim històric fa uns quatre mesos. Per als inversors en criptodivises, aquest podria ser un moment per entrar en pànic i retirar els seus fons, o perquè els nouvinguts es llancin a aquesta oportunitat i comprin criptodivises a un preu més baix. Si pertanys a un d'aquests grups, hauries de triar acuradament quina aplicació mòbil utilitzar per gestionar els teus fons», aconsella Štefanko.
