La empresa de seguridad informática Check Point Research ha descubierto un vaciador de billeteras cripto que utilizó “técnicas avanzadas de evasión” en la tienda Google Play para robar más de 70,000 dólares en cinco meses.

La aplicación maliciosa se disfrazó como el protocolo WalletConnect, una aplicación bien conocida en el espacio cripto que puede vincular una variedad de billeteras cripto a aplicaciones de finanzas descentralizadas (DeFi).

La compañía dijo en una publicación de blog del 26 de septiembre que esto marca “la primera vez que los vaciadores apuntaron exclusivamente a usuarios de teléfonos”.

“Las reseñas falsas y el uso consistente de la marca ayudaron a que la aplicación alcanzara más de 10,000 descargas al posicionarse alto en los resultados de búsqueda”, dijo Check Point Research.

Más de 150 usuarios fueron drenados de alrededor de 70,000 dólares — no todos los usuarios de la aplicación fueron afectados, pues algunos no conectaron una billetera o vieron que era una estafa. Otros “puede que no hayan cumplido con los criterios específicos de selección del malware”, dijo Check Point Research.

Algunos de los comentarios falsos sobre la aplicación falsa WalletConnect mencionaban características que no tenían nada que ver con criptomonedas. Fuente: Check Point Research

Agregó que la aplicación falsa estuvo disponible en la tienda de aplicaciones de Google desde el 21 de marzo y utilizó “técnicas avanzadas de evasión” para permanecer sin ser detectada durante más de cinco meses. Ahora ha sido eliminada.

La aplicación se publicó inicialmente bajo el nombre de “Mestox Calculator” y fue cambiada varias veces, mientras que la URL de la aplicación aún apuntaba a un sitio web aparentemente inofensivo con una calculadora.

“Esta técnica permite a los atacantes pasar el proceso de revisión de aplicaciones en Google Play, dado que las verificaciones automáticas y manuales cargarán la aplicación de calculadora ‘inofensiva’”, dijeron los investigadores.

Sin embargo, dependiendo de la ubicación de la dirección IP del usuario y si utilizaban un dispositivo móvil, fueron redirigidos al back-end malicioso de la aplicación que contenía el software de drenado de billeteras MS Drainer.

Un diagrama de cómo funcionaba la falsa aplicación WalletConnect para robar ciertos fondos de usuarios. Fuente: Check Point Research

Al igual que otros esquemas de drenado de billeteras, la aplicación falsa WalletConnect solicitaba a los usuarios conectar una billetera, lo que no habría levantado sospechas debido al funcionamiento de la aplicación real.

Luego, se les pedía a los usuarios aceptar varios permisos para “verificar su billetera”, lo que otorgaba permiso para que la dirección del atacante “transfiriera la cantidad máxima del activo especificado”, explicó Check Point Research.

“La aplicación recupera el valor de todos los activos en las billeteras de la víctima. Primero intenta retirar los tokens más costosos, seguidos por los más baratos”, agregó.

“Este incidente pone de relieve la creciente sofisticación de las tácticas de los ciberdelincuentes”, escribió Check Point Research. “La aplicación maliciosa no dependía de vectores de ataque tradicionales como permisos o keylogging. En su lugar, utilizaba contratos inteligentes y enlaces profundos para drenar silenciosamente los activos una vez que los usuarios eran engañados para usar la aplicación.”

Agregaron que los usuarios deben ser “cautelosos con las aplicaciones que descargan, incluso cuando parecen legítimas”, y que las tiendas de aplicaciones deben mejorar sus procesos de verificación para detener las aplicaciones maliciosas.

“La comunidad cripto necesita seguir educando a los usuarios sobre los riesgos asociados con las tecnologías Web3”, dijeron los investigadores. “Este caso ilustra que incluso interacciones aparentemente inocuas pueden llevar a pérdidas financieras significativas.”

Google no respondió de inmediato a nuestra solicitud de comentarios.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.