En una sorprendente vulneración de seguridad, la firma de TI Check Point Research ha descubierto un sofisticado vaciador de monederos de criptomonedas que pasó desapercibido en Google Play Store durante más de cinco meses y robó más de 70.000 dólares a usuarios desprevenidos. A continuación, se explica cómo ocurrió y por qué es una importante llamada de atención para los usuarios de criptomonedas en dispositivos móviles.
La amenaza disfrazada
La aplicación maliciosa se hizo pasar por WalletConnect, un protocolo legítimo y ampliamente utilizado en el espacio criptográfico que vincula las billeteras a las aplicaciones de finanzas descentralizadas (DeFi). Incluso logró evadir la detección mediante el uso de técnicas de evasión avanzadas, lo que marca el primer caso de drenadores que apuntan específicamente a los usuarios móviles.
Cómo sucedió:
Las reseñas falsas y el branding ayudaron a que la aplicación subiera de rango en Google Play, logrando más de 10 000 descargas.
Si bien algunos usuarios no se vieron afectados (aquellos que no conectaron una billetera o detectaron la estafa), más de 150 víctimas perdieron aproximadamente $70,000 en activos.
Los atacantes utilizaron una serie de funciones falsas y reseñas irrelevantes para generar confianza y distraer a los usuarios.
La aplicación, que apareció por primera vez el 21 de marzo con el nombre inofensivo de “Mestox Calculator”, sufrió varios cambios de nombre para evitar ser detectada. Mientras tanto, su URL seguía apuntando a una calculadora inofensiva, lo que le permitió superar los controles automáticos y manuales de Google Play.
Las tácticas tortuosas:
La aplicación maliciosa atacaba en secreto a los usuarios en función de su ubicación IP y tipo de dispositivo. Si un usuario cumplía con los criterios de los atacantes, era redirigido a un back-end que contenía el software que vaciaba la billetera, conocido como MS Drainer.
Así es como funcionó la estafa:
1. La aplicación falsa WalletConnect pidió a los usuarios que conectaran su billetera de criptomonedas, imitando un comportamiento legítimo.
2. Luego se solicitó a los usuarios que aceptaran permisos para “verificar su billetera”, lo que en realidad le dio al estafador el control para transferir la cantidad máxima de activos.
3. La aplicación escanearía la billetera de la víctima y retiraría primero los tokens más valiosos.
Un nuevo nivel de sofisticación
Lo que distingue a este ataque es su complejidad. No se basó en tácticas comunes como el keylogging o permisos sospechosos. En cambio, aprovechó contratos inteligentes y enlaces profundos para drenar silenciosamente los fondos de los usuarios una vez que fueron engañados para conectar su billetera.
“Este incidente demuestra la creciente sofisticación de los cibercriminales”, señaló Check Point Research. “Los usuarios deben estar alerta, incluso cuando las aplicaciones parecen legítimas”. También pidieron a las tiendas de aplicaciones que mejoren sus controles de seguridad para evitar infracciones similares en el futuro.
La comida para llevar
Este evento es un recordatorio esclarecedor de que incluso las aplicaciones aparentemente inofensivas en plataformas confiables como Google Play pueden representar riesgos graves. Para los usuarios de criptomonedas, cada interacción, sin importar cuán mínima sea, puede tener consecuencias devastadoras si no se tiene cuidado.
Lección clave: siempre verifique dos veces la autenticidad de cualquier aplicación relacionada con criptomonedas y tenga cuidado al otorgar permisos o vincular su billetera.
La aplicación falsa WalletConnect ya fue eliminada, pero el daño subraya la necesidad de una educación continua sobre los riesgos en el mundo en evolución de las tecnologías Web3.
¡Manténgase seguro y esté siempre alerta ante aplicaciones sospechosas! 👀
#Criptoseguridad#Estafasde vaciado de billetera#Riesgosde criptomonedas móviles#SeguridadWeb3
