Alertan por falsa app de criptomonedas que espía y roba información sensible

La aplicación en una copia fiel de una versión antigua del sitio original de una de las criptomonedas más populares de los últimos años.

Especialistas en ciberseguridad descubrieron una campaña activa de una falsa appde billetera de una de las criptomonedascon mayor crecimiento en los últimos años, Safemoon, que distribuye una herramienta de acceso remoto (RAT) utilizada para espiar a la víctima, robar credenciales y más.

Entre las funcionalidades más críticas que realiza el RAT en el equipo comprometido se identificó la obtención de credenciales de acceso de varios navegadores, como Internet Explorer, Firefox y Google Chrome; el registro de las pulsaciones de teclado del usuario (o keylogging), la captura de audio desde el micrófono de la víctima o la descarga de archivos adicionales de acuerdo al interés del atacante mediante enlaces.

Además, tiene la capacidad de realizar acciones que pueden auxiliar a otros códigos maliciosos para su funcionamiento, como la eliminación de archivos o carpetas, o la modificación del fondo de pantalla del usuario.

Safemoon es una criptomoneda creada en marzo de 2021, que experimentó alta volatilidad y crecimiento acelerado desde su lanzamiento.

En agosto de este año, se denunció vía Reddit un sitio que suplantaba su identidad. En el engaño los usuarios eran contactados a través de mensajes directos de diferentes cuentas que simulaban ser la oficial de Safemoon en Discord, y hacía referencia al lanzamiento de una actualización de la aplicación de billetera.

El sitio falso consiste en una copia fiel de una versión antigua del sitio original. De hecho, el equipo de investigación destaca que cada enlace presente en el sitio falso redirige al real, a excepción del enlace para la descarga de la aplicación mencionada en el mensaje fraudulento.

La descarga simula ser la misma anunciada en el sitio real. Sin embargo, se trata de una aplicación maliciosa que utiliza una herramienta de administración de dispositivos de manera remota cuyo objetivo de espiar al usuario.

El archivo tiene características de troyano, ya que se presenta a la víctima como una imitación de una aplicación inofensiva y operando de manera transparente. Una vez ejecutado, no realizará ningún tipo de acción que el usuario pueda detectar, sino que se descargan una serie de archivos, entre ellos el payload de una conocida herramienta de acceso remoto (RAT) llamada Remcos.

“La diferencia entre un RAT legítimo de uno malicioso está en quienes controlan la herramienta, ya sea una organización o cibercriminales. Las distintas capacidades de este malware se centran en espiar al usuario”, explica Martina López, Investigadora de Seguridad Informática de ESET Latinoamérica.

La especialista agrega que “estas funcionalidades serán utilizadas de acuerdo al interés y deseo del atacante, quien controla a la amenaza por medio de un servidor de comando y control (o C&C), cuya dirección IP se encuentra inyectada en los mismos archivos descargados. Desde ESET advertimos sobre esta campaña activa ya que apostamos a la concientización como principal herramienta de protección. Conocer los riesgos nos ayudan a evitarlos tomando los recaudos necesarios”.