Check Point Research, la división de Inteligencia de Amenazas Check Point Software Technologies Ltd. (NASDAQ: CHKP), proveedor especializado en soluciones de ciberseguridad en la nube basadas en IA, ha descubierto una amenaza nueva: la primera aplicación móvil de robo de criptomonedas en Google Play.
Esta aplicación, que se ha hecho pasar por la herramienta legítima WalletConnect, se ha aprovechado de la popularidad de los activos digitales y se ha dirigido a los usuarios directamente en sus dispositivos móviles. Para lograrlo, ha aprovechado la ingeniería social avanzada y la manipulación técnica con el objetivo de engañar a las víctimas y, así, hacerles creer que se trataba de una herramienta segura y necesaria para conectar sus carteras de criptomonedas a aplicaciones Web3.
En cinco meses ha logrado más de 10.000 descargas y ha robado alrededor de 70.000 dólares a 150 víctimas. Este es el primer caso registrado de un crypto drainer dirigido exclusivamente a usuarios de dispositivos móviles, lo que indica la complejidad creciente de los ciberdelincuentes en el ecosistema financiero descentralizado.
Los crypto drainers son una forma de malware diseñado para robar activos digitales. Este ciberataque utiliza a menudo páginas de phishing y aplicaciones que imitan a plataformas legítimas. A medida que las criptomonedas son más habituales, estas amenazas evolucionan para encontrar nuevas formas de eludir las medidas de seguridad tradicionales.
· Impacto significativo en los usuarios: la aplicación se ha descargado más de 10.000 veces y ha conseguido robar aproximadamente 70.000 dólares a150 víctimas. La mayor parte de los fondos robados permanecen en los monederos de los ciberdelincuentes, lo que significa que la actividad delictiva continúa.
· Técnicas sofisticadas de engaño: la aplicación ha utilizado ingeniería social avanzada, reseñas positivas falsas y tácticas de evasión para pasar desapercibida en Google Play durante casi cinco meses durante los que los ciberdelincuentes han podido manipular las clasificaciones de búsqueda para permanecer en los primeros puestos y ocultar su naturaleza maliciosa.
· Abuso de confianza: los atacantes han explotado el protocolo legítimo de WalletConnect y han utilizado su nombre para engañar a los usuarios. Esta táctica ha aprovechado la confusión sobre la conexión de aplicaciones descentralizadas y monederos, haciendo que la aplicación maliciosa pareciera una solución segura.
· Engaño técnico: una vez instalada, la aplicación pedía a los usuarios que conectaran sus monederos, los redirigía a páginas web maliciosas y ejecutaba transacciones no autorizadas. De esta manera, ha sustraído tokens mientras evitaba la detección inmediata. Este proceso se ha repetido en varias redes de blockchain, lo que ha permitido robar los activos de las víctimas.
Check Point Harmony Mobile Protection protege a los dispositivos examinando todas las aplicaciones e impide que se descarguen aplicaciones dañinas en tiempo real.
En cuanto a las páginas web maliciosas, Harmony Brows previene las amenazas con filtrado de URL, que bloquea el acceso a sitios de phishing, cómo WalletConnect.
El análisis basado en IA y la protección contra phishing zero-day impiden que los usuarios interactúen con estos sitios y detiene las transferencias no autorizadas. Como capa de defensa adicional, sus funciones antimalware, que incluyen sandboxing y Threat Emulation, detectan y bloquean el malware en las descargas de estas webs.
Alexander Chailytko, gerente de seguridad cibernética, investigación e innovación en Check Point Software, comentó:
“Este incidente es una llamada de atención para toda la comunidad de activos digitales, ya que la aparición de la primera aplicación móvil de drenaje de criptomonedas en Google Play marca una escalada significativa en las tácticas utilizadas por los ciberdelincuentes y el panorama de rápida evolución de las amenazas cibernéticas en las finanzas descentralizadas. Esta investigación destaca la necesidad crítica de soluciones de seguridad avanzadas impulsadas por IA que puedan detectar y prevenir amenazas tan sofisticadas. Es esencial que tanto los usuarios como los desarrolladores se mantengan informados y tomen medidas proactivas para proteger sus activos digitales”.