Descubren app en Google Play que puede vaciar carteras de criptomonedas

Una de estas apps maliciosas fue descubierta hace poco por los investigadores de la firma de ciberseguridad ESET, quienes la describieron como “extremadamente peligrosa”. Titulada ‘Defensor ID’ por parte de un presunto desarrollador registrado como ‘GAS Brazil’, la app se describía en la tienda como una herramienta criptográfica de protección del dispositivo para usuarios individuales y corporativos. Sin embargo, el verdadero propósito de esta app era conseguir los permisos suficientes en el teléfono para robar credenciales, información y hasta fondos desde todas las demás apps, incluyendo los aplicaciones bancarias y las carteras de criptomonedas. Con usuarios y contraseñas en mano, los hackers pudieron incluso llegar a vaciar cuentas bancarias y carteras digitales a distancia. Lo más peligroso de Defensor ID, según ESET, es que su detección fue bastante difícil. En el diseño de esta herramienta se redujeron al mínimo todas las funciones potencialmente maliciosas, excepto el abuso del Servicio de Accesibilidad en los dispositivos Android. Tras su instalación, la app solicita permisos para modificar la configuración del sistema, mostrarse sobre otras aplicaciones y activar los servicios de accesibilidad. Esto ocasiona de inmediato que el hacker tras el software tenga acceso a todos los mensajes y correos electrónicos, credenciales de diversas apps, códigos de doble factor de autenticación (2FA) y claves privadas de los monederos abiertos en el dispositivo. También puede instalar, desinstalar e iniciar aplicaciones. Básicamente, Defensor ID es una llave maestra para tomar el control casi total del teléfono, por lo que el atacante puede adueñarse de todo lo que haya en él. Además, este troyano es capaz de sobrevivir al reinicio del dispositivo. Se sospecha que su principal blanco eran ciudadanos brasileños, dado el nombre del desarrollador y su primera versión en portugués. No obstante, la app también tuvo disponible una versión en inglés sin restricciones geográficas. Se lanzó el tres de febrero de este año y se actualizó por última vez el pasado 6 de mayo. Tras la investigación y consecuente reporte de ESET, la app fue dada de baja de Google Play el 19 de mayo, siguiendo el mismo camino que una muy similar, llamada Defensor Digital. Las pérdidas ocasionadas no se contabilizaron con exactitud, pues, según la descripción de la app, solo fue descargada por unas 10 personas. Sin embargo, una base de datos filtrada sobre el malware a la que pudo acceder ESET mostró más de 60 dispositivos infectados.

Ratas (troyanos de acceso remoto)

Todo indica que esta nueva app maliciosa se trataba de un troyano de acceso remoto (“rata”, por sus siglas en inglés), uno de los malwares más peligrosos que existen. Se trata de programas o apps disfrazados con el aspecto de otra utilidad para engañar al usuario que los instala. Una vez en el equipo, pueden crear una “puerta trasera” para burlar toda seguridad y controlar casi todas las funciones a distancia. Eso puede llevar al robo de credenciales, información confidencial y dinero, tanto en bancos como en carteras de criptomonedas. Defensor ID no es el primer software de su clase. Ejemplos anteriores los encontramos en Bitcoin Alarm, una presunta aplicación sobre precios de criptomonedas; InnfiRAT, cuyo disfraz era de cartera digital, y Saefko, en venta para todo el que quiera comprarla en la Darknet. Para evitar tener este tipo de infección es importante recurrir solo a las fuentes oficiales de las aplicaciones a la hora de la descarga, verificar que sean reconocidas, que su desarrollador exista realmente y que tengan comentarios o evaluaciones positivas previas.