Detectan primer malware que reemplaza direcciones de criptomonedas en Google Play

Un grupo de investigadores de la firma de seguridad informática ESET detectó un software malicioso que se encarga de reemplazar, en el portapapeles, direcciones de criptomonedas. El malware es el primero de su tipo en ser identificado entre las aplicaciones de Google Play

Este tipo malware, conocido como “clipper”, está diseñado para interceptar las direcciones, a la cuales se enviarán los criptoactivos, para sustituirlas por otras del atacante, sin que el usuario se percate.

Los analistas informaron que el programa se hace pasar por una aplicación oficial de MetaMask y está en la capacidad, no solo de reemplazar las direcciones, sino que también puede “robar las credenciales y las llaves privadas de la víctima para obtener acceso a los fondos en ethers”.

Usualmente cuando un usuario necesita realizar una transferencia de criptoactivos, la persona copia en el portapapeles, del dispositivo móvil, la dirección que recibirá los fondos, esto con la intención de no escribir la cantidad de caracteres, entre números y letras, que son necesarios para enviar los recursos y finiquitar la operación.

El malware fue identificado como Android/Clipper.C y según la empresa, apareció en Google Play el 1 de febrero de este año. Al notificarle a Google la naturaleza maliciosa de la aplicación, fue retirada del mercado. Este tipo de programa había sido detectado en otros centros de aplicaciones, pero no en el oficial de Google, hasta ahora.

“En agosto de 2018, se descubrió el primer caso de un Android clipper siendo ofrecido en foros clandestinos, y desde ese entonces, este malware ha sido detectado en varias tiendas de apps de dudosa reputación”, informó la compañía especializada en seguridad informática.

Luego de revelar la aparición del malware, ESET ofreció varios consejos para que los usuarios se protejan de las amenazas. Entre las sugerencias se encuentran mantener el dispositivo Android actualizado, descargar aplicaciones solo de la tienda oficial de Google y corroborar que lo que se ha pegado es realmente lo que se copió.

Software malicioso para PC

En el pasado también se han reportado casos de malware asociado al reemplazo de direcciones, pero en computadoras personales de escritorio. En julio del 2018 el equipo de BleepingComputer descubrió esta amenaza de seguridad.

En esa oportunidad se informó que el virus, denominado CryptoCurrency Clipboard Hijackers, se instalaba en la computadora, mientras que una biblioteca de enlace dinámico (DLL), llamada d3dx11_31.dll, se añadía a la carpeta temporal de Windows, para luego crear un archivo ejecutable llamado “DirectX 11”.

En enero del año pasado también fue detectado un nuevo virus denominado Evrial, que cambiaba las direcciones de bitcoin en el portapapeles en Windows. En esa ocasión el caso cobró relevancia internacional debido a que los investigadores señalaron que el malware era ofrecido en foros clandestinos de Internet por unos 27 dólares estadounidenses.

Otros servicios móviles, que han sido simulados en Google Play para intentar sustraer criptomonedas, incluyen falsos monederos para NEO y Tether o la aplicación Exodus.

Imagen destacada por adimas / stock.adobe.com