Descubren aplicaciones maliciosas que robaban carteras de criptomonedas en iOS y Android
Los expertos en ciberseguridad recomiendan que siempre descarguemos las aplicaciones desde las tiendas oficiales, como Google Play Store de Android o App Store de iOS. Sin embargo, eso no implica que, de vez en cuando, se cuelen plataformas fraudulentas. Los investigadores de Kaspersky han descubierto varias apps que contenían un kit de desarrollo de software […] The post Descubren aplicaciones maliciosas que robaban carteras de criptomonedas en iOS y Android appeared first on ADSLZone.


Los expertos en ciberseguridad recomiendan que siempre descarguemos las aplicaciones desde las tiendas oficiales, como Google Play Store de Android o App Store de iOS. Sin embargo, eso no implica que, de vez en cuando, se cuelen plataformas fraudulentas. Los investigadores de Kaspersky han descubierto varias apps que contenían un kit de desarrollo de software malicioso (SDK son sus siglas en inglés) que se habían colado. Según explican en su informe, estas podían robar carteras de criptomonedas.
El SDK que los de Kaspersky han hallado en algunas aplicaciones de iOS y Android está diseñado para robar frases de recuperación de carteras de criptomonedas mediante ladrones de reconocimiento óptico de caracteres (OCR). El equipo de investigadores detalla que, en Google Play Store, donde los números de descargas están disponibles públicamente, sabemos que las apps se descargaron más de 242.000 veces. Mientras tanto, en la App Store, se desconoce la cantidad de descargas que hubo.
En Android, lo hacen a través de un componente Java malicioso llamado «Spark», que está camuflado en un módulo de análisis. Este utiliza un archivo de configuración cifrado almacenado en GitLab que proporciona comandos y actualizaciones operativos a las aplicaciones. En el caso de iOS, el framework se le conoce como «Gzip», «googleappsdk» o «stat» y utiliza un módulo de red basado en Rust para comunicarse con los servidores de comando y control.
¿Cómo roban billeteras criptográficas con las aplicaciones?
Los investigadores de Kaspersky indican que es probable que los desarrolladores de las aplicaciones no participen en la campaña fraudulenta y que desconozcan la presencia del kit malicioso. En su explicación, señalan que el módulo afectado en los distintos sistemas operativos usa Google ML Kit OCR para extraer texto de las imágenes en el dispositivo. De este modo, trata de encontrar frases de recuperación que puedan usarse para acceder a las carteras de criptomonedas, aunque se desconozca la contraseña como tal.
«El componente malicioso carga diferentes modelos de OCR según el idioma del sistema para distinguir caracteres latinos, coreanos, chinos y japoneses en las imágenes», especifican en el post de Kaspersky. Es decir, el troyano es capaz de rebuscar en las imágenes, indagando entre posibles palabras clave en diferentes lenguas. Después, el kit fraudulento carga información sobre el dispositivo al servidor de comandos y, «en respuesta, recibe un objeto que regula el funcionamiento posterior del malware».
Apps afectadas por el malware
En total, los investigadores de seguridad de Kaspersky han descubierto 18 aplicaciones infectadas en Android, y 10 en iOS. Algunas se mantenían disponibles tras el chivatazo de la compañía de ciberseguridad, pero Google Play Store y App Store ya las han ido cerrando con el paso de los días. Sin embargo, si tenías alguna ya instalada en tu móvil, es posible que sigas en peligro, por lo que desinstalarla cuanto antes.
Algunas de las aplicaciones afectadas por el SDK son ComeCome-Chinese Food Delivery, ChatAI, WeTink, AnyGPT, ATV News Online (亚洲电视新闻), Bintiger Mall, Websea Exchange, Safe W, Vanity Address, Tonghui Paybank, bs.feifubao, StarCoin, I’m Pop, hkatv, ZORIXchange y Unicornsoft, entre otras. La más afectada fue ChatAI, que se llegó a instalar más de 50.000 veces, y era una aplicación de inteligencia artificial de origen asiático. Esta aplicación fue una de las primeras en desaparecer de Google Play Store.
En Kaspersky, recomiendan eliminar las apps infectadas y no usarlas de nuevo hasta que los creadores publiquen un parche que elimine la funcionalidad maliciosa. Además, aconsejan no almacenar nunca capturas de pantalla con información confidencial en la galería, incluidas frases de recuperación para acceder a billeteras de criptomonedas o contraseñas. Asimismo, conviene tener un antivirus instalado en todos los dispositivos, para que te notifique en caso de detectar un malware.
The post Descubren aplicaciones maliciosas que robaban carteras de criptomonedas en iOS y Android appeared first on ADSLZone.