La falsa aplicación WalletConnect afecta a más de 150 víctimas
Foto: valiantsin suprunovich/Shutterstock
Una app que robaba grandes cantidades de criptomonedas ha sido descubierta en Google Play Store. Según la empresa de seguridad informática Check Point Research, esta aplicación que sustraía wallets consiguió robar más de $70.000 a las víctimas en cinco meses. El malware se hacía pasar por WalletConnect, un popular protocolo Web3, y engañaba a los usuarios para que aprobaran las transacciones. Esto permitía a los estafadores acceder a sus fondos.
Una aplicación falsa roba decenas de miles de dólares
Los creadores de la aplicación utilizaron varios trucos para pasar desapercibidos. Por ejemplo, la aplicación cambió de nombre varias veces. Al principio se llamaba «Mestox Calculator» y remitía a un sitio web de calculadoras inofensivas. Esto ayudó a los desarrolladores a eludir los procesos de revisión de Google Play, ya que las comprobaciones automatizadas y manuales solo veían la calculadora inofensiva.
Según Check Point Research, este escándalo fue el primero dirigido exclusivamente a usuarios de móviles. Los usuarios con determinadas direcciones IP o que utilizaban un teléfono móvil eran redirigidos al back-end que albergaba el programa «MS Drainer», destinado a drenar carteras.
La aplicación, que se puso a disposición de los usuarios el 21 de marzo de 2024, recibió más de 10.000 descargas gracias a reseñas falsas y a la coherencia de la marca, lo que causó un perjuicio considerable a más de 150 usuarios. Sin embargo, no todos los que descargaron la aplicación se vieron afectados; algunos reconocieron la estafa a tiempo o no conectaron su wallet. Otros pueden no haber cumplido los criterios específicos de selección del malware.
Técnicas ingeniosas para saquear las wallets de criptomonedas
Real WalletConnect permite a los usuarios comunicarse de forma segura entre sus carteras de criptomonedas y aplicaciones descentralizadas (dApps) a través de códigos QR. Esto permite que las transacciones se aprueben sin exponer las claves privadas.
La aplicación falsa se aprovechaba de esto dirigiendo a los usuarios a un sitio web fraudulento donde se les pedía que vincularan sus wallets y aceptaran varios permisos. Estos permisos daban acceso a los atacantes para vaciar completamente la wallet. La aplicación comenzó con los tokens más caros de las wallets de las víctimas y luego fue avanzando hacia las monedas más baratas.
Check Point Research sostiene que este caso muestra cómo las técnicas de los ciberdelincuentes son cada vez más inteligentes. En lugar de los métodos de ataque tradicionales, como el registro de pulsaciones, la aplicación utilizaba contratos inteligentes y enlaces profundos para desviar activos una vez que los usuarios confiaban en la aplicación. Google ha eliminado la aplicación, pero no ha hecho ningún comentario sobre el incidente.
