Falsa aplicación de Trezor buscaba robar criptomonedas

Con los recientes movimientos alcistas del mercado de criptomonedas, que comenzaron hace poco más de un mes, se ha potenciado la aparición de aplicaciones fraudulentas que buscan robar los datos y las criptomonedas de usuarios incautos.

Lukas Stefanko, investigador de la compañía de ciberseguridad ESET, publicó un informe en el que detalla el modo de operación de un falso llavero de Trezor, que usaba la imagen de este monedero frío en la tienda de aplicaciones de Google.

El fraude fue informado en Reddit por el usuario u/mooncritic. Rápidamente, el director de tecnología de SatoshiLabs, Pavol Rusnak, pidió a la comunidad que reportaran la aplicación, que ya se encuentra fuera de la PlayStore.

La App fraudulenta no puede afectar a los usuarios de Trezor, debido a las distintas capas de seguridad que usa la compañía que desarrolla estos llaveros fríos. Sin embargo, las personas que se registraron en la aplicación ingresaron sus datos personales, como correo y claves, a las bases de datos de los atacantes.

UN LLAVERO GENÉRICO, IDEAL PARA PHISHING

La aplicación usaba la imagen de Trezor en la PlayStore, pero al descargarla su logo e interfaz cambiaban y mostraban imágenes de CoinWallet. Los datos ingresados se almacenaban en coinwallet[.]com. Este dominio actualmente se encuentra caído.

Stefanko descubrió en su investigación que esta página ofrecía otro monedero sin la imagen de Trezor y con una versión para iOS, aunque al dar clic en la opción para dispositivos Apple solo llevaba a una imagen PNG. Esta falta probablemente se deba a que la AppStore tiene restricciones más fuertes con las aplicaciones que se ofrecen en su tienda.

Otro hallazgo del investigador es que la plantilla usada para esta aplicación puede comprarse en línea por 40 dólares.

La plantilla en sí misma es un recurso benigno que se vuelve malicioso en las manos de atacantes; sin embargo, aquí vemos cómo estos recursos pueden ser usados por más atacantes para crear aplicaciones engañosas de forma rápida y barata.
Lukas Stefanko, investigador de malwares, ESET.

Esta plantilla, que se encuentra en la tienda CodeCanyon, posee exactamente la misma imagen que presentaba el sitio web reseñado en la investigación de ESET.

Harry Denley, director de seguridad del llavero MyCrypto, también investigó este suceso y encontró que, al registrarse, la aplicación ofrecía direcciones de criptomonedas que se encontraban en posesión de los atacantes.

Estas direcciones se encuentran en registros de phishing que han sido usadas fraudulentamente desde hace más de un año. La app “aseguraba” los criptoactivos con una combinación de usuario y contraseña y no entregaba en ningún momento las llaves privadas a los usuarios.

NO SOLO TREZOR

Los ataques que utilizan phishing son relativamente comunes en el ecosistema y los usuarios deben estar pendientes de que la fuente de la aplicación es legítima. Denley resaltó que recientemente se han reportado aplicaciones fraudulentas que utilizan la imagen de MetaMask y de MyCrypto.

Hace un mes, la compañía Ledger Wallet, que fabrica llaveros fríos al igual que Trezor, alertó a la comunidad de una actualización falsa de este software para los sistemas operativos Windows. Esta aplicación solicitaba las llaves privadas de los usuarios, para acceder de esta manera a los fondos.