El robo de criptomonedas por ataques cibernéticos de enero a julio de 2022 ya tiene un valor de USD 1.9 mil millones, un 60% más que en el mismo período hace un año, según la firma de análisis de blockchain Chainalysis. Recientemente, ESET, una empresa especializada en detección proactiva de amenazas, advirtió sobre una campaña dirigida a usuarios de Android e iOS con aplicaciones troyanizadas que se hacían pasar por monederos legítimos. Esta vez, el objetivo son los usuarios de Coinbase, una plataforma de comercio de criptomonedas.

A principios de agosto, se informó que una página se hacía pasar por el sitio web oficial de Coinbase. Aunque la URL del sitio, que desde entonces ha sido deshabilitada, no tenía un certificado HTTPS, el diseño era una copia casi perfecta del oficial. Además, varios enlaces redirigen a la página legítima, excepto el enlace para descargar la aplicación.

Sitio web oficial de Coinbase

El sitio web falso ofrece la opción de descargar la aplicación Coinbase.apk directamente, sin redirigir al usuario a Google Play.

De esta forma los usuarios descargan una aplicaciones maliciosa

Por otro lado, en el sitio web oficial la opción de descargar la aplicación wallet redirige al usuario a Google Play Store:

Sitio web oficial de Coinbase y descarga de billetera desde Google Play Store

"Esta aplicación es una versión troyanizada de la billetera Coinbase y está contenida en un paquete que usa el mismo nombre que la aplicación oficial, que es 'org. toshi'. Tras la revisión, notamos que la funcionalidad de la aplicación maliciosa está ofuscada con Funciones de "Virbox". Una vez revelado, observamos que esta actividad central realiza una verificación de la arquitectura del dispositivo para determinar qué variante descarga la funcionalidad maliciosa", explica Sol González, investigadora de seguridad de la información de ESET en América Latina.

Al realizar el análisis dinámico de la aplicación, el equipo de ESET observó que funciona de la misma manera que la aplicación oficial de Coinbase. Sin embargo, la aplicación maliciosa ofrece la opción para que el usuario inicie sesión ingresando la frase inicial de la billetera. Después de ingresar el código, solicita crear un nombre de usuario junto con una clave numérica. Al obtener acceso a la frase semilla, un atacante puede obtener los datos y redirigir todos los fondos de la víctima a su billetera.