Investigadores de ciberseguridad
han descubierto un conjunto de aplicaciones maliciosas en la App Store de
Apple que suplantan la identidad de populares monederos de criptomonedas
con el objetivo de robar frases de recuperación y claves privadas desde al
menos otoño de 2025.
«Una vez instaladas, estas aplicaciones redirigen a los usuarios a páginas
web diseñadas para parecerse a la App Store y distribuyen versiones
troyanizadas de monederos legítimos»,
declaró Sergey Puzan, investigador de Kaspersky.
«Las aplicaciones infectadas están diseñadas específicamente para
secuestrar frases de recuperación y claves privadas».
Las 26 aplicaciones, denominadas colectivamente FakeWallet, imitan varios
monederos populares como Bitpie, Coinbase, imToken, Ledger, MetaMask,
TokenPocket y Trust Wallet. Muchas de estas aplicaciones fueron retiradas por
Apple tras su descubrimiento. No hay evidencia de que estas aplicaciones se
hayan distribuido a través de Google Play Store.
Si bien los monederos de criptomonedas maliciosos
distribuidos anteriormente
a través de sitios web falsos abusaban de los perfiles de aprovisionamiento de
iOS para que los usuarios los instalaran, este último esquema de robo de
criptomonedas representa una mejora en varios aspectos. Para empezar, las
aplicaciones están disponibles para su descarga directa desde la App Store de
Apple si el usuario tiene su cuenta de Apple configurada para China.
Estas aplicaciones tienen iconos que imitan a las originales, pero con errores
tipográficos intencionados en sus nombres (por ejemplo, LeddgerNew)
para engañar a los usuarios desprevenidos y que las descarguen. En algunos
casos, los nombres e iconos de las aplicaciones no tienen ninguna relación con
las criptomonedas. En cambio, se utilizan como perfilamiento para
redirigir a los usuarios a descargar la aplicación oficial de la billetera a
través de ellas, alegando que no están disponibles en la App Store por motivos
regulatorios.
Kaspersky afirmó haber identificado también varias aplicaciones similares,
probablemente vinculadas al mismo actor malicioso, que no tienen las funciones
maliciosas habilitadas, pero que imitan un servicio inofensivo, como un juego,
una calculadora o un planificador de tareas. Una vez iniciadas, estas
aplicaciones abren un enlace en el navegador web y aprovechan los perfiles de
aprovisionamiento empresarial para instalar la aplicación de la billetera en
el dispositivo de la víctima.
«Los atacantes han creado una amplia variedad de módulos maliciosos, cada
uno adaptado a una billetera específica. En la mayoría de los casos, el
malware se distribuye mediante la inyección de una biblioteca maliciosa,
aunque también nos hemos encontrado con versiones en las que se modificó el
código fuente original de la aplicación.»
El objetivo final de estas infecciones es obtener frases mnemotécnicas de
monederos tanto activos como inactivos y extraerlas a un servidor externo, lo
que permite a los atacantes tomar el control de los monederos de las víctimas
y robar criptomonedas o realizar transacciones fraudulentas.
Las frases semilla se capturan interceptando el código de la pantalla donde el
usuario introduce su frase de recuperación o mediante una página de phishing
que solicita a la víctima que introduzca su frase mnemotécnica como parte de
un supuesto proceso de verificación.
Se sospecha que la campaña podría ser obra de ciberdelincuentes vinculados a
la campaña del troyano SparkKitty del año pasado, dado que algunas de las
aplicaciones infectadas también incluyen un módulo para robar frases de
recuperación de monederos mediante reconocimiento óptico de caracteres (OCR),
y que ambas campañas parecen ser obra de hablantes nativos de chino y se
dirigen específicamente a las criptomonedas.
«La campaña FakeWallet está cobrando fuerza mediante nuevas tácticas, que van
desde la distribución de malware a través de aplicaciones de phishing
publicadas en la App Store hasta su integración en aplicaciones de monederos
fríos y el uso de sofisticadas notificaciones de phishing para engañar a los
usuarios y que revelen sus contraseñas», declaró Kaspersky.
Surge el marco de malware MiningDropper para Android
Este descubrimiento se produce cuando Cyble revela un sofisticado marco de
distribución de malware para Android conocido como MiningDropper (también
conocido como BeatBanker), que combina la minería de criptomonedas con el robo
de información, el acceso remoto y malware bancario en ataques dirigidos a
usuarios en India, así como en Latinoamérica, Europa y Asia, como parte de la
campaña BTMOB RAT.
MiningDropper se ha distribuido mediante una versión troyanizada del proyecto
de aplicación de código abierto para Android
Lumolight. Las campañas utilizan sitios web falsos que suplantan la identidad de
instituciones bancarias y oficinas de transporte regionales para propagar el
malware. Una vez ejecutado, activa una secuencia de varias etapas para extraer
el minero y el malware troyano de un archivo de activos cifrados dentro del
paquete.
«MiningDropper emplea una arquitectura de entrega de carga útil en varias
etapas que combina ofuscación nativa basada en XOR, preparación de carga
útil cifrada con AES, carga dinámica en DEX y técnicas antiemulación»,
afirmó Cyble.
«MiningDropper emplea una arquitectura de entrega de carga útil en varias
etapas que combina ofuscación nativa basada en XOR, preparación de carga
útil cifrada con AES, carga dinámica en DEX y técnicas antiemulación».
MiningDropper demuestra una arquitectura de malware para Android modular y por
capas, diseñada para dificultar el análisis estático a la vez que ofrece a los
ciberdelincuentes flexibilidad en la entrega final de la carga útil. Este
diseño permite al ciberdelincuente reutilizar el mismo marco de distribución e
instalación en cientos de muestras, adaptando el objetivo de monetización
final a las necesidades operativas.
Fuente:
THN