Hechos clave:
-
La app instala EggShell y EvilOSX, dos malwares que pueden brindar acceso al dispositivo.
-
Debido a ciertas fallas, MalwareBytes presume que la app fue creada con este fin malicioso.
Una app para Mac que realiza el seguimiento del precio de los criptoactivos llamada CoinTicker, aloja automáticamente dos peligrosos backdoors en el dispositivo en el que se instala. A pesar de que no se conoce el objetivo exacto de estas entradas secretas, EggShell y EvilOSX podrían brindarle acceso al dispositivo, y a los fondos que conservan, a los atacantes.
De acuerdo con el comunicado, publicado este 29 de octubre, la anomalía fue descubierta por el desarrollador de software de ciberseguridad, 1vladimir. CoinTicker parece funcionar perfectamente, de modo que un usuario con pocos conocimientos técnicos podría no darse cuenta del proceso de instalación de estas puertas traseras.
Recordemos que un backdoor o puerta trasera es una secuencia de comandos particulares, dentro del código de programación, gracias al que se logra evitar los sistemas de seguridad y autenticación para acceder a los sistemas informáticos y controlarlos.
Aunque esta funcionalidad parece ser legítima, la aplicación realmente es peligrosa en segundo plano, sin que el usuario lo sepa. Sin señales de problemas, como las solicitudes de autenticación de superusuario, no hay nada que sugiera al usuario que algo está mal.
Cuando se lanza, la aplicación descarga e instala componentes de dos puertas traseras de código abierto diferentes: EvilOSX y EggShell.
MalwareBytes
Pero lo más peligroso no es la instalación en sí, sino que esto componentes no requieren permisos especiales. De acuerdo con MalwareBytes, ninguno de los dos malwares en cuestión requiere algo más que los permisos de usuario normales, es decir, que el dispositivo no necesita ser rooteado para que el backdoor se instale y pueda ser utilizado.
No queda expresamente claro para qué propósito se utilizarían los backdoors, pero al tratarse de una aplicación especializada en criptomonedas, los investigadores de la empresa de ciberseguridad han insinuado que podría tratarse de un intento de robar estos fondos.
Además, a pesar de que habían sospechado que podría tratarse de un ataque a la cadena de suministro, donde se altera un producto antes de que llegue a las manos del consumidor final, la investigación del origen de la app sugiere que podría tratarse de un software creado exclusivamente para instalar estos backdoors.
De acuerdo con esto, la aplicación se distribuye a través de un dominio llamado coin-sticker.com, que no coincide con el nombre del producto. Además, el dominio se registró el pasado 13 de julio.
A pesar de que el caso es particular, debido a la instalación de los backdoors, los usuarios de criptomonedas han sido blanco de ataques similares en reiteradas oportunidades. Recientemente la propia empresa de ciberseguridad detectó un virus troyano oculto en páginas que tientan a los fanáticos con herramientas de trucos para la temporada 6 de Fortnite.
Este malware serviría para robar bitcoins, de acuerdo con los especialistas. Además, podría robar otra cantidad de datos, incluyendo sesiones de Steam. Dada la gran popularidad del juego, antes del reporte de MalwareBytes el malware había sido descargado 1.207 veces.
Por su parte, el investigador Brad Duncan publicó un informe sobre una serie de URLs y archivos no asociados a Adobe que descargaban un instalador auténtico de Adobe Flash Player pero que también instalaban un minero de criptomonedas XMRig que empezaba a operar tras la instalación de Flash Player. En su investigación, Duncan detectó más de 400 URLs y archivos maliciosos que ofrecen el instalador falso de Adobe.
Imagen destacada de Nmedia / stock.adobe.com
