Regístrate en Bitget y obtén hasta 100 USDT en bonos completando simples tareas. Oferta por tiempo limitado.
La firma de ciberseguridad «Check Point Research» (CPR), publicó un informe el jueves, relacionado con el descubrimiento de una aplicación maliciosa en «Google Play», diseñada para robar criptomonedas. Esto, marca la primera vez que una aplicación maliciosa de criptomonedas, se dirige exclusivamente a los usuarios de dispositivos móviles.
Según la firma, la aplicación, que permaneció activa durante casi cinco meses, se hizo pasar por el protocolo legítimo «WalletConnect» y engañó a los usuarios mediante tácticas de ingeniería social y de marca falsa.
«La aplicación logró victimizar a más de 150 usuarios, resultando en pérdidas superiores a los $70.000 dólares». Expresó la firma de ciberseguridad CPR.
Cabe destacar que los atacantes utilizaron el nombre del protocolo «WalletConnect», para aparentar legitimidad y lograron más de 10.000 descargas, manipulando los rankings de búsqueda y utilizando reseñas falsas.
Además, CPR señaló que la «ingeniería social avanzada», fue crucial para engañar a los usuarios, logrando que descargaran la aplicación y conectaran sus billeteras. Una vez que los usuarios interactuaban con la aplicación, esta los incitó a aprobar transacciones maliciosas, permitiéndole a los atacantes vaciar sus activos digitales de forma inadvertida.
No obstante, el informe de CPR también señaló que no todos los usuarios que descargaron la aplicación maliciosa, se vieron afectados.
«Algunos usuarios no completaron la conexión de la billetera, otros reconocieron actividad sospechosa y aseguraron sus activos. Además, también es posible que algunos no hayan cumplido con los criterios de selección específicos del malware». Dijo CPR.
Es importante señalar que WalletConnect es un protocolo de código abierto que establece una enlace de comunicación entre las dApps y los monederos móviles, garantizando una experiencia de usuario fluida y segura.
La aplicación maliciosa de Google Play, era popular en Nigeria, Portugal y Ucrania
Asimismo, según el informe de CPR, los hackers utilizaron tácticas avanzadas de redirección y cifrado para ocultar sus verdaderas intenciones. Además, la aplicación maliciosa dependía en gran medida de scripts maliciosos externos, lo que complicaba la detección y permitía a los atacantes permanecer ocultos.
«Este incidente resalta la creciente sofisticación de las tácticas cibercriminales, especialmente en las finanzas descentralizadas, donde los usuarios a menudo dependen de protocolos de terceros para administrar activos digitales». Expresó CPR.
Cabe destacar que si bien la aplicación ya no está disponible para descargar desde la tienda Google Play, los datos de la plataforma «SensorTower», muestran que la aplicación maliciosa era popular en Nigeria, Portugal y Ucrania, y estaba vinculada a un desarrollador llamado «UNS LIS».
Además, también el desarrollador «UNS LIS», está asociado con otra aplicación llamada «Uniswap DeFI», que permaneció activa en la tienda Play Store, durante aproximadamente un mes entre mayo y junio del 2023.
Asimismo, según el informe presentado, la aplicación maliciosa se publicó en Google Play el 21 de marzo del 2024 con el nombre de «Mestox Calculator», y posteriormente, el nombre de la aplicación fue modificado varias veces hasta finalmente denominarse como «WalletConnect – Airdrop Wallet».
«La aplicación maliciosa no dependía de vectores de ataque tradicionales como permisos o keylogging. En su lugar, utilizaba contratos inteligentes y enlaces para drenar silenciosamente los criptoactivos una vez que los usuarios eran engañados». Señaló CPR.
Es importante señalar que la comunidad de criptomonedas debe seguir educándose sobre los riesgos asociados con las tecnologías de la Web3. Como referencia, este reciente caso, muestra que incluso las interacciones, aparentemente inofensivas desde un teléfono móvil, pueden provocar pérdidas financieras significativas para los usuarios.
«Para protegerse, los usuarios deben permanecer atentos y ser cautelosos con las aplicaciones que descargan, incluso cuando parecen legítimas». Expresó el informe.
