Un nuevo tipo de ataque contra aplicaciones móviles representa una amenaza creciente para los usuarios de criptomonedas, según declaraciones del 18 de julio de Asaf Ashkenazi, director ejecutivo de la empresa de ciberseguridad Verimatrix.
La nueva amenaza se llama "ataque de superposición". Funciona creando una interfaz falsa en el dispositivo del usuario. Esta interfaz luego se utiliza para suplantar información del usuario, incluidos nombres de usuario, contraseñas e incluso códigos 2FA, afirmó Ashkenazi. Una vez obtenida esta información, el atacante la utiliza para enviar información en la interfaz real de una aplicación de destino.
Para llevar a cabo un ataque de superposición, el atacante primero debe convencer al usuario de que descargue una aplicación en su dispositivo móvil. Los explotadores de superposición de pantalla suelen disfrazarse de juegos u otras aplicaciones divertidas. Cuando el usuario abre la aplicación, parece funcionar según lo previsto.
“Cualquiera que sea el juego, podría ser incluso [...] una copia de un juego popular y cumplirá esta función”, afirmó Ashkenazi. Como la aplicación funciona según lo previsto, el usuario generalmente no sospecha que sea maliciosa.
De hecho, la aplicación "no tiene ninguna actividad maliciosa además de una cosa: monitorea cuando [...] se inicia la aplicación de destino". La aplicación de destino podría ser un banco, un intercambio de cifrado, una billetera de cifrado u otra aplicación confidencial. Una vez que el usuario inicia la aplicación de destino, la aplicación maliciosa crea una "misma copia exacta" de la interfaz utilizada en la aplicación de destino.
Por ejemplo, si el usuario inicia su aplicación de intercambio, la aplicación maliciosa crea una interfaz de usuario falsa que se parece exactamente a la interfaz de intercambio, pero que en realidad está controlada por el atacante. Cualquier información que el usuario ingrese en la interfaz falsa es capturada por el atacante, y luego esta información se pasa a la aplicación real, dándole al atacante acceso a la cuenta.
Ashkenazi advirtió que la autenticación de dos factores (2FA) generalmente no puede proteger al usuario contra este tipo de ataques. Si 2FA está habilitado, el atacante simplemente esperará a que el usuario ingrese su mensaje de texto o el código de la aplicación de autenticación, que luego será capturado al igual que las otras credenciales.
Relacionado: La aplicación Authy 2FA filtró números de teléfono que pueden usarse para phishing de texto
En muchos casos, la aplicación maliciosa hará que la pantalla del usuario se oscurezca, haciéndole creer que su teléfono se ha quedado sin energía o se ha bloqueado. "Una vez que ingresan a su cuenta, ponen la pantalla negra en su teléfono", afirmó el CEO de Verimatrix. "Entonces tu teléfono todavía está funcionando, pero no puedes ver nada[,] [s]o piensas que tu teléfono está muerto". Esto les da tiempo a los atacantes para vaciar las cuentas de la víctima, ya que es poco probable que se den cuenta de que están siendo atacados hasta que sea demasiado tarde.
Ashkenazi afirmó que las aplicaciones bancarias son uno de los mayores objetivos de los ataques de superposición. Sin embargo, los intercambios de cifrado también están en riesgo, ya que dependen del mismo paradigma de nombre de usuario/contraseña/2FA que utilizan las aplicaciones bancarias. El CEO afirmó que no había visto una aplicación de billetera criptográfica sin custodia objetivo de este ataque, pero eso podría cambiar en el futuro.
Ashkenazi enfatizó que los ataques de superposición se realizan en el propio dispositivo del usuario, que contiene la clave privada de una billetera, por lo que exigir una firma criptográfica para cada transacción no necesariamente protegerá al usuario.
Verimatrix ha intentado trabajar con Google para eliminar aplicaciones de ataque de superposición de la tienda Google Play. Pero atraparlos a todos es difícil. A diferencia de la mayoría de las aplicaciones maliciosas, las aplicaciones de ataque de superposición no realizan ninguna acción maliciosa hasta que el usuario carga la aplicación de destino.
Por este motivo, estas aplicaciones suelen parecer inocentes cuando son analizadas por programas de detección de malware. "Ven un juego, no ven la actividad maliciosa porque no hace nada", afirmó Ashkenazi.
Recomendó que los servicios centralizados utilicen sistemas de monitoreo para detectar ataques de superposición y bloquearlos desde la base de datos de la aplicación. Este es uno de los servicios que Verimatrix brinda a sus clientes.
Sin embargo, sugirió que los consumidores pueden tomar medidas para protegerse incluso si sus aplicaciones favoritas no utilizan dichos servicios de monitoreo.
En primer lugar, los usuarios deben ser escépticos ante las aplicaciones que parecen demasiado buenas para ser verdad. “Si ves algo que te ofrece juegos que normalmente cuestan dinero o algo que es realmente bueno y es gratis, [...] debes sospechar”, afirmó. En segundo lugar, los usuarios no deben otorgar a las aplicaciones permisos que no necesitan, ya que los ataques de superposición no se pueden realizar sin que un usuario le dé permiso a la aplicación para crear una superposición.
En tercer lugar, los padres deberían considerar la posibilidad de adquirir un dispositivo móvil independiente para sus hijos, ya que Verimatrix descubrió en su investigación que los niños descargan muchas aplicaciones de ataque de superposición sin el conocimiento de sus padres. Esto se debe a que los atacantes suelen disfrazar sus aplicaciones como juegos atractivos para los niños.
"Si puedes permitírtelo y tienes algo que sea divertido para los niños, no mezcles", afirmó el director ejecutivo. “Déjalos hacer la diversión. Pero luego no accedas a nada importante desde ese dispositivo”.
El malware sigue amenazando a los usuarios de criptomonedas. El 29 de marzo, la base de datos de malware Vx-underground advirtió que a los tramposos de Call of Duty les estaban robando sus Bitcoin mediante su software de trampas. En enero, otro conjunto de malware que drenaba criptomonedas se dirigió a usuarios de aplicaciones pirateadas que se ejecutan en dispositivos macOS.
Revista: Crypto-Sec: Evolve Bank sufre una violación de datos, el entusiasta de Turbo Toad pierde $3.6K