Más de 20 aplicaciones maliciosas en Google Play atacan a los usuarios con frases clave

Una investigación reciente de la firma de inteligencia de amenazas Cyble ha detectado una campaña dirigida a usuarios de criptomonedas a través de Google Play Store con más de 20 aplicaciones maliciosas de Android.

Se ha descubierto que estas aplicaciones, disfrazadas de billeteras de criptomonedas confiables como SushiSwap, PancakeSwap, Hyperliquid y Raydium, recopilan frases mnemotécnicas de 12 palabras de los usuarios, las claves que desbloquean sus fondos de criptomonedas.

Estas aplicaciones imitan las interfaces de billeteras legítimas, incitando a los usuarios a ingresar frases de recuperación confidenciales. Una vez ingresadas, los atacantes pueden acceder a las billeteras reales y vaciarlas. Si bien Google ha eliminado muchas de estas aplicaciones falsas tras el informe de Cyble, algunas permanecen activas en la tienda y han sido marcadas para su eliminación.

Según el informe de Cyble compartido con Hackread.com, las aplicaciones fraudulentas llevan nombres e iconos de plataformas de criptomonedas conocidas y aparecen en cuentas de desarrolladores que anteriormente alojaban aplicaciones genuinas, como juegos, descargadores de vídeo y herramientas de streaming. Estas cuentas, algunas con más de 100.000 descargas, parecen haber sido pirateadas y reutilizadas para distribuir las aplicaciones maliciosas.

En varios casos, las aplicaciones utilizan una herramienta de desarrollo conocida como "Median framework" para convertir rápidamente sitios web de phishing en aplicaciones Android. Las aplicaciones cargan estas páginas de phishing directamente en una WebView (una ventana integrada en el navegador) que solicita a los usuarios su frase mnemotécnica con la excusa de acceder a la billetera.

La campaña no solo es generalizada, sino también coordinada en su infraestructura. Un dominio de phishing encontrado por Cyble estaba vinculado a más de 50 dominios similares, todos parte de un mismo esfuerzo para comprometer la seguridad de las billeteras.

Los investigadores de Cyble también observaron un patrón en el funcionamiento de estas aplicaciones falsas. Muchas incluyen enlaces en sus políticas de privacidad que, en realidad, conducen a sitios web de phishing diseñados para robar las frases de recuperación de la billetera de los usuarios. Las aplicaciones también suelen usar nombres similares, lo que indica el uso de herramientas automatizadas para crearlas y publicarlas rápidamente.

Además, varias aplicaciones están conectadas a los mismos servidores o sitios web, lo que demuestra que forman parte de un esfuerzo mayor y organizado. Algunos de los dominios falsos vinculados a estas aplicaciones incluyen:

• bullxnisbs
• hyperliqwsbs
• raydifloydcz
• sushijamessbs
• pancakefentfloydcz

Estos dominios se hacen pasar por varios proveedores de billeteras y ofrecen páginas diseñadas para engañar a los usuarios para que proporcionen sus frases semilla. Mientras tanto, la lista parcial de aplicaciones maliciosas, cortesía de Cyble, está disponible a continuación:

1. Raydium
2. Intercambio de sushi
3. Cartera Suitet
4. Hiperlíquido
5. Criptomoneda BullX
6. Intercambio de panqueques
7. Intercambio de Meteora
8. Intercambio de OpenOcean
9. Blog de finanzas de la cosecha

A pesar de los esfuerzos por eliminar las aplicaciones, la campaña continúa. Al momento de este informe, algunas permanecen activas en Play Store. La rápida replicación de estas aplicaciones mediante plataformas estándar sugiere que los atacantes podrían fácilmente crear más aplicaciones falsas si no se bloquean rápidamente.

Esto supone un grave riesgo. A diferencia de la banca tradicional, no existe una red de seguridad contra el robo de criptomonedas. Una vez vaciada una billetera, es casi imposible recuperar los fondos.

Cyble ha compartido indicadores detallados de compromiso (IOC), incluidos nombres de aplicaciones, identificadores de paquetes y dominios de phishing, que los profesionales de seguridad pueden usar para bloquear o investigar más a fondo.

Esta campaña continúa mostrando cómo los atacantes siguen atacando el ya vulnerable ecosistema criptográfico a través de canales oficiales como las tiendas de aplicaciones. Mientras las plataformas de aplicaciones trabajan para detectar las cargas maliciosas, los usuarios siguen siendo víctimas de estas amenazas de ciberseguridad . Por lo tanto, se insta a los usuarios a estar atentos y seguir estos pasos para protegerse:

Esté atento a señales de alerta como un bajo número de reseñas, aplicaciones republicadas recientemente o enlaces a dominios extraños en las políticas de privacidad.

• Evite descargar e instalar aplicaciones innecesarias.

• Habilite Google Play Protect para ayudar a identificar aplicaciones potencialmente dañinas.

• Utilice seguridad biométrica y autenticación de dos factores cuando esté disponible.

• Tenga siempre cuidado al descargar aplicaciones tanto de tiendas oficiales como de terceros.

• Nunca ingrese su frase de 12 palabras en ninguna aplicación o sitio web a menos que esté seguro de que es legítima.