Sostén tu billetera. Los investigadores de ESET han descubierto la primera instancia conocida de una cepa relativamente nueva de malware que roba criptomonedas, llamada “clipper”, en Google Play Store. Informaron sus hallazgos al equipo de seguridad de Play Store el 1 de febrero, quien rápidamente eliminó la aplicación ofensiva.
El ataque utiliza un truco muy simple para separar a los usuarios de sus fondos digitales. Los valores de criptomonedas se asignan a una cadena de caracteres única y larga conocida como billetera. Para realizar una transacción, un remitente generalmente necesita ingresar la dirección de la billetera del destinatario en su aplicación. Esto es similar a cómo colocaría una dirección del mundo real en un sobre para que se entregue en la ubicación correcta.
Sin embargo, en lugar de ingresar manualmente estas direcciones largas y complicadas, la mayoría de los usuarios las copiarán y pegarán. Aquí es donde interviene la familia de malware Clipper. Una vez instalado, el malware monitorea el portapapeles del sistema. Una vez que detecta algo que parece una dirección de destino, la cambia a una dirección operada por el controlador del malware. Si el usuario final luego envía la transacción sin notar el cambio, el atacante recibe la moneda en su lugar.
Clipper también puede quitar las credenciales y claves privadas de un usuario del portapapeles. Una vez que el atacante tiene esta información, puede hacerse pasar por el usuario para desviar fondos de forma directa e irreversible. Esta es una de las razones por las que los expertos en criptomonedas han recomendado a los usuarios que almacenen la mayor parte de su saldo en un almacenamiento en frío fuera de línea y que solo mantengan un saldo mínimo en las billeteras móviles para el uso diario.
El malware Clipper existe desde al menos 2017 dirigido a usuarios de Windows. Las variantes de aplicaciones de Android surgieron a mediados del año pasado, pero fueron relegadas a tiendas de aplicaciones de terceros fuera del jardín amurallado de Google. Este último hallazgo se coló a través de las defensas de Google.
Imagen de ficha de Play Store fraudulenta cortesía de ESET
La aplicación sospechosa se llamaba MetaMask, un servicio para administrar aplicaciones distribuidas basadas en Ethereum, o Dapps. Solo hay un problema; MetaMask no opera una aplicación móvil. En cambio, se trataba de un tercero que se hacía pasar por un servicio legítimo popular para llegar a víctimas desprevenidas. Los representantes reales de MetaMask acudieron a Twitter y le pidieron a Google que aumentara la protección de los nombres de marcas registradas:
Agradeceríamos que @GooglePlayDev reservara los nombres de marcas comerciales para las aplicaciones, especialmente los objetivos repetidos de phishing como nosotros. https://t.co/CdisrV6n8p
– MetaMask (@metamask_io) 9 de febrero de 2019 Administrar la seguridad para Play Store no es una tarea pequeña, pero es sorprendente ver que un nivel básico de protección como la verificación del nombre de marca registrada no está implementado. Esta está lejos de ser la primera vez que ocurre una suplantación de identidad. Incluso la mensajería masivamente popular de WhatsApp fue imitada de manera similar en 2017.
Es un recordatorio de que, independientemente del sistema, los usuarios deben hacerse cargo de su propia seguridad. En este caso, el sitio web oficial de MetaMask no menciona las aplicaciones móviles, solo las extensiones del navegador de escritorio. Además, los usuarios deben verificar que toda la información de la transacción sea correcta antes de enviarla. Los usuarios también deben tener cuidado al usar el portapapeles para ingresar credenciales, ya que cualquier aplicación en ejecución puede leer el portapapeles. Por último, siempre es mejor instalar las últimas actualizaciones de seguridad. Ningún aspecto es una solución milagrosa para la seguridad, pero una postura de seguridad diligente puede al menos reducir el riesgo de verse comprometida.
