Un nuevo tipo de ataque contra aplicaciones móviles está representando una creciente amenaza para los usuarios de criptomonedas, según declaraciones del 18 de julio de Asaf Ashkenazi, CEO de la firma de ciberseguridad Verimatrix.
La nueva amenaza se denomina “ataque overlay”. Funciona creando una interfaz falsa en el dispositivo del usuario. Esta interfaz se utiliza luego para pescar información del usuario, incluidos nombres de usuario, contraseñas e incluso códigos de 2FA, afirmó Ashkenazi. Una vez obtenida esta información, el atacante la usa para enviar información en la interfaz real de una aplicación objetivo.
Para llevar a cabo un ataque overlay, el atacante primero necesita convencer al usuario para que descargue una aplicación en su dispositivo móvil. Los exploiters de overlay de pantallas suelen estar disfrazados como juegos u otras aplicaciones divertidas. Cuando el usuario abre la aplicación, parece funcionar como se espera.
“Sea cual sea el juego, [podría ser incluso [...] una copia de un juego popular y hará esta funcionalidad”, declaró Ashkenazi. Dado que la aplicación funciona como se espera, el usuario generalmente no sospecha que es maliciosa.
De hecho, la aplicación “no tiene ninguna actividad maliciosa además de una cosa, monitorea cuando [...] se lanza la aplicación objetivo.” La aplicación objetivo podría ser un banco, un exchange de criptomonedas, una billetera de criptomonedas u otra aplicación sensible. Una vez que el usuario lanza la aplicación objetivo, la aplicación maliciosa crea una “copia exacta” de la interfaz utilizada en la aplicación objetivo.
Por ejemplo, si el usuario lanza su aplicación de exchange, la aplicación maliciosa crea una interfaz de usuario falsa que se ve exactamente como la interfaz del exchange, pero que en realidad está controlada por el atacante. Cualquier información que el usuario ingrese en la interfaz falsa es capturada por el atacante, y esta información se pasa a la aplicación real, dando al atacante acceso a la cuenta.
Ashkenazi advirtió que la autenticación de dos factores (2FA) generalmente no puede proteger al usuario contra este tipo de ataque. Si 2FA está habilitado, el atacante simplemente esperará a que el usuario ingrese su código de mensaje de texto o de la aplicación de autenticación, que luego será capturado al igual que las otras credenciales.
En muchos casos, la aplicación maliciosa hará que la pantalla del usuario se oscurezca, haciéndole creer que su teléfono se ha quedado sin batería o se ha bloqueado. “Una vez que [entran] en tu cuenta, ponen la pantalla negra en tu teléfono”, declaró el CEO de Verimatrix. “Así que tu teléfono sigue funcionando, pero no puedes ver nada[,] [s]o piensas que tu teléfono está muerto.” Esto da a los atacantes tiempo para drenar las cuentas de la víctima, ya que es poco probable que se den cuenta de que están siendo atacados hasta que sea demasiado tarde.
Ashkenazi declaró que las aplicaciones bancarias son uno de los mayores objetivos de los ataques overlay. Sin embargo, los exchanges de criptomonedas también están en riesgo ya que dependen del mismo paradigma de nombre de usuario/contraseña/2FA que utilizan las aplicaciones bancarias. El CEO afirmó que no ha visto una aplicación de billetera de criptomonedas no custodiada objetivo de este ataque, pero esto podría cambiar en el futuro.
Ashkenazi destacó que los ataques overlay se realizan en el propio dispositivo del usuario, que contiene la clave privada de la billetera, por lo que requerir una firma criptográfica para cada transacción no necesariamente protegerá al usuario.
Verimatrix ha intentado trabajar con Google para eliminar las aplicaciones de ataques overlay de la tienda Google Play. Pero atraparlas a todas es difícil. A diferencia de la mayoría de las aplicaciones maliciosas, las aplicaciones de ataque overlay no realizan ninguna acción maliciosa hasta después de que el usuario carga la aplicación objetivo.
Por esta razón, estas aplicaciones generalmente parecen inocentes cuando son examinadas por programas de detección de malware. “Ven un juego, no ven la actividad maliciosa porque no hace nada,” declaró Ashkenazi.
Recomendó que los servicios centralizados deberían utilizar sistemas de monitoreo para detectar ataques overlay y bloqueárselos desde la base de datos de la aplicación. Este es uno de los servicios que Verimatrix proporciona a sus clientes.
Sin embargo, sugirió que los consumidores pueden tomar medidas para protegerse incluso si sus aplicaciones favoritas no utilizan tales servicios de monitoreo.
En primer lugar, los usuarios deben ser escépticos de las aplicaciones que parecen demasiado buenas para ser verdad. “Si ves algo que te ofrece juegos que generalmente cuestan dinero o algo que es realmente bueno y es gratis, [...] necesitas sospechar,” declaró. En segundo lugar, los usuarios no deben otorgar permisos a las aplicaciones que no necesitan, ya que los ataques overlay no pueden realizarse sin que el usuario le dé a una aplicación el permiso para crear un overlay.
En tercer lugar, los padres deberían considerar obtener un dispositivo móvil separado para sus hijos, ya que Verimatrix descubrió en su investigación que muchas aplicaciones de ataques overlay son descargadas por niños sin el conocimiento de sus padres. Esto se debe a que los atacantes a menudo disfrazan sus aplicaciones como juegos que atraen a los niños.
“Si puedes permitirte y tienes algo que es divertido para los niños, no lo mezcles,” declaró el CEO. “Déjalos disfrutar de la diversión. Pero luego no accedas a nada importante desde ese dispositivo.”
El malware continúa amenazando a los usuarios de criptomonedas. El 29 de marzo, la base de datos de malware Vx-underground advirtió que los tramposos de Call of Duty estaban viendo cómo les robaban Bitcoin por su software de trampas. En enero, otro conjunto de malware que drena criptomonedas tuvo como objetivo a los usuarios de aplicaciones piratas que funcionan en dispositivos macOS.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.