Calculadora - troyano: cómo estafadores engañaron a Google Play y robaron $70,000

El equipo de Check Point Research (CPR) descubrió en Google Play una aplicación maliciosa de tipo "crypto-drainer" diseñada para robar criptomonedas. Es la primera vez que un drainer está enfocado exclusivamente en dispositivos móviles. La aplicación empleó métodos para evadir la detección y estuvo en la tienda durante casi 5 meses antes de ser eliminada.

La aplicación, llamada "WalletConnect – Crypto Wallet", se disfrazaba de herramienta para trabajar con Web3 y utilizaba el nombre del conocido protocolo WalletConnect, que conecta monederos de criptomonedas con aplicaciones descentralizadas. Falsas reseñas y el uso de una marca reconocida ayudaron a alcanzar más de 10,000 descargas. Además, la aplicación aparecía en los primeros resultados de búsqueda en Google Play.

El uso de ingeniería social y modernas herramientas de crypto-drainer permitió a los delincuentes robar criptomonedas por un valor de $70,000 a unas 150 víctimas.

Aplicación maliciosa en Google Play

Un crypto-drainer es una herramienta maliciosa para robar activos digitales, incluidos NFT y tokens de monederos de criptomonedas. Para sustraer fondos, el crypto-drainer utiliza técnicas de phishing y contratos inteligentes. A menudo, los usuarios son redirigidos a sitios falsos que imitan plataformas legítimas, donde se les solicita firmar transacciones fraudulentas. Una vez que el usuario confirma la transacción, los activos se transfieren automáticamente a las cuentas de los estafadores.

WalletConnect es un protocolo de código abierto que garantiza una comunicación segura entre aplicaciones descentralizadas (dApps) y monederos de criptomonedas. Sin embargo, algunas dificultades al conectarse a WalletConnect confunden a los usuarios, lo que fue aprovechado por los estafadores. Los problemas se deben a que no todos los monederos son compatibles con WalletConnect, y su incompatibilidad con versiones obsoletas de algunos monederos solo agrava la situación.

La aplicación fue creada utilizando el servicio median.co, que permite convertir un sitio web en una aplicación móvil. En la práctica, actuaba como un navegador que abría un sitio específico. Al cargar en el navegador, los usuarios veían una simple calculadora "Mestox Calculator", lo que ayudaba a evadir las verificaciones de seguridad de Google Play.

No obstante, la aplicación contenía una funcionalidad maliciosa oculta que redirigía al usuario al recurso connectprotocol[.]app/gate/index.php. Bajo la apariencia de verificación del monedero, se les pedía firmar transacciones, tras lo cual los activos se transferían automáticamente a las cuentas de los delincuentes.

Aplicación señuelo Mestox Calculator

La herramienta MS Drainer utilizada en la aplicación es compatible con múltiples blockchains, incluyendo Ethereum, BNB Smart Chain y Polygon, y rápidamente encuentra los activos de las víctimas.

Para protegerse de este tipo de amenazas, los usuarios deben verificar cuidadosamente las aplicaciones antes de descargarlas, y las tiendas de aplicaciones deben fortalecer sus procedimientos de verificación. Las iniciativas educativas dentro de la comunidad cripto también juegan un papel clave al informar sobre los riesgos asociados con las tecnologías Web3.