Hechos clave:
- Cinco aplicaciones en Google Play Store se hacían pasar por servicvios de criptoactivos.
- Se detectaron aplicaciones falsas para Exodus, Metamask, NEO y Tether.
El investigador de malwares, Lukas Stefanko, descubrió y reportó cuatro aplicaciones de monederos falsos diseñados para robar criptomonedas o credenciales de usuarios desprevenidos, que podían ser fácilmente descargadas desde Google Play Store, antes de ser retiradas del sitio por Google. Además, el día 14 de noviembre la compañía Exodus reportó que otra App había estado colgada en el popular sitio de descargas.
Por medio de un vídeo y un post, publicado en su página web, Stefanko confirmó que un grupo de aplicaciones descargables en Google Play Store se hacía pasar por monederos de las criptomonedas de Tether, NEO, con el objetivo de robar todas las criptomonedas que fuesen enviadas a dicha dirección. Otras simulaban ser una aplicación de Metamask y Exodus.
Las aplicaciones falsas se encontraban entre las primeras opciones de búsqueda de monederos para ambas criptomonedas en Google Play. En un caso, la aplicación falsa de NEO fue descargada más de 100 veces desde el mes de octubre una cifra que habla de la difusión de este método fraudulento.
La aplicación imitaba los servicios de otros monederos legítimos, ofreciendo lo que parecía ser un historial de transacciones, capacidad para enviar criptomonedas, así como un supuesto código QR y dirección para recibir transacciones.
No obstante, a diferencia de un monedero legítimo, la aplicación no tenía ni llave pública ni llave privada. El código QR habilitado, para que los usuarios recibieran transacciones, era siempre el mismo en todas las descargas. Por si fuera poco, en vista de que la llave privada estaba en manos del criminal, todas las criptomonedas enviadas a la dirección pertenecían al hacker desde ese momento.
Stefanko también introdujo la dirección del monedero en un buscador de blockchain, el cual arrojó como resultado que dicha dirección tenía un total de 16 NEO acumulados. Un valor que no aparecía reflejado en la cartera, ya que la misma era tan sólo una pantalla engañosa para obtener el dinero de terceros.
La aplicación que se hacía pasar por MetaMask, la interfaz para administrar tokens y ethers, pedía a los usuarios su llave privada y contraseña para supuestamente acceder a los servicios del monedero, cuando se trataba realmente de un robo de credenciales.
Asimismo, una de las características más preocupantes de estos monederos falsos es que los mismos han sido generados por medio de un servicio llamado Drag-n-Drop, el cual. sin necesidad de tener grandes conocimientos de codificación, permite que cualquier persona construya su propia aplicación; sistema que podría hacer proliferar este tipo de ataques.
Exodus también publicó una alerta
La cartera de criptoactivos Exodus también publicó una alerta, luego de identificar una aplicación falsa en Google Play. La App ofrecía un servicio para teléfonos móviles. En su publicación, a través de Twitter, indican que la compañía todavía no tiene una aplicación móvil, pero que cuando tengan algo preparado para iOS o Android seguramente harán un gran anuncio.
⚠️ There is a fake Exodus mobile app in the Google Play store. Downloading the application will result in a compromised device. Exodus does not yet have a mobile application. ⚠️
— Exodus (@exodus_io) 14 de noviembre de 2018
Una práctica difundida
Las aplicaciones falsas relacionadas con criptomonedas no son un suceso reciente. Los hackers y estafadores cada día se interesan más por las criptomonedas, haciendo proliferar no sólo los ataques de ransomware y minería oculta —también conocida como cryptojacking—, sino este tipo de Apps que buscan engañar a los usuarios más incautos.
Por ejemplo, recientemente se detectó un grupo de aplicaciones para Android que simulaban minar criptomonedas, cuando realmente buscaban generar ganancias por medio de anuncios. Asimismo, también aparecieron un grupo de App con un minero oculto incorporado para realizar actividades de minería con el poder de procesamiento de los celulares de sus usuarios.
De igual manera, versiones piratas de los monederos MyEtherWallet o de la red peer-to-peer de Localbitcoins han estado entre los casos más sonados de aplicaciones que intentan robar criptomonedas, y que pueden ser fácilmente adquiridas en populares plataformas de descarga.
Debido a la proliferación de este método de estafa, los usuarios deben estar cada vez más atentos sobre los software que descargan en sus computadores y teléfonos inteligentes. En este sentido, se le recomienda a todos los usuarios verificar los datos que otorgan las plataformas de descarga, como Google Play Store, para verificar la autenticidad de dichas aplicaciones.
Por ejemplo, los comentarios de otros usuarios, las puntuaciones del producto y los datos del desarrollador son vitales para descubrir si una aplicación es autentica o no. Asimismo, dirigirse a las páginas web oficiales o redes sociales de las aplicaciones de monederos también ayuda a cerciorarse de que los mismos no son fraudulentos.
Si el monedero tiene su propia red social, con todos los datos de la empresa y sus desarrolladores, así como una página web que da acceso al link de descarga de su aplicación, entonces la misma tiene más posibilidades de ser un producto legítimo. También ayuda revisar las redes sociales o portales oficiales de los proyectos, ya que, en muchos casos, estos servicios están afiliados.
Si no basta con cerciorarse de los datos de la empresa, a la hora del fraude también son muy útiles los buscadores de blockchain, ya que se puede verificar si la dirección pública otorgada por el monedero se encuentra sin transacciones y no tiene movimientos sospechosos que no sean acordes a lo que muestra la interfaz del monedero.
Una de las características más importantes para saber si un monedero es legítimo está en el método para obtener la llave privada o la semilla de recuperación. Si al crear un monedero no se le otorga al usuario su llave privada o su semilla, entonces las criptomonedas almacenadas en dicha interfaz no son única y exclusivamente de él.
Imagen destacada por Tomasz Zajda / stock.adobe.com
