En Google Play, la tienda de aplicaciones de Android, se pueden encontrar infinidad de cosas. Lamentablemente, y por muchas barreras que intenten poner los desarrolladores de la app store, también aplicaciones fraudulentas y maliciosas, o que se hacen pasar por apps legítimas. Ese es el caso del último malware descubierto en el Google Play de Android, que simula ser la aplicación «Metamask» y es capaz de robar las criptomonedas del usuario.

La técnica que utiliza es muy novedosa dentro de Google Play, de hecho, es la primera vez que se detecta algo así. En concreto, la técnica consiste en reemplazar el contenido de la aplicación portapapeles del dispositivo, un método denominado tipo «clipper«.

Así lo ha dado a conocer la firma de seguridad y fabricante de software de seguridad ESET, quienes han explicado que el objetivo de este malware es conseguir robar criptomonedas Bitcoins y Ethereum.

Interceptando el contenido del portapapeles del dispositivo

Para entender cómo funciona este malware, es comprender cómo funcionan los monederos de criptomonedas. Las direcciones de los monederos de criptomonedas están compuestos por largas cadenas de caracteres, muy difíciles de aprender, y engorrosos de escribir manualmente. Por eso, muchos usuarios dueños de estos monederos, suelen copiar y pegar esas direcciones. Al copiarlas, esos caracteres se quedan almacenados en el portapapeles. 

Pues bien, el malware tipo clipper se aprovecha de este mecanismo. Una vez que se ha copiado contenido al portapapeles, el malware lo intercepta y lo reemplaza con otra secuencia de caracteres. En este caso, con la dirección del monedero de criptomonedas del atacante.

Un truco sencillo, pero que el usuario no suele detectar, debido a que no se ha aprendido la larga secuencia de caracteres.

Y sin darse cuenta, estará redirigiendo las transferencias realizadas en estas criptomonedas a la cuenta del atacante en lugar de a la de la víctima.

metamask aplicacion maliciosa app store android google play malware clipper eset noticias de ciberseguridad seguridad informatica ciberataques
Aspecto de la app que se hace pasar por «Metamask»

Escondido en Google Play

Los investigadores de ESET han encontrado este malware escondido en la tienda de Google Play, comoAndroid/Clipper.C, haciéndose pasar por una aplicación oficial relacionada con criptomonedas: MetaMask.

Además de interferir las transacciones, el propósito final de esta app maliciosa es robar las credenciales y las llaves privadas de la víctima para obtener acceso a sus fondos Ethereum.

Los expertos en seguridad advierten de que este tipo de malware supone un nuevo reto y recuerda que los usuarios deben tener en cuenta una serie de consejos en sus dispositivos móviles.

Mantener el sistema operativo actualizado es importante, así como contar con soluciones de seguridad que ayuden a detectar estos casos. También es necesario estar atento a la hora de descargar las apps, evitando las que no sean oficiales.

En estas, es recomendable (para evitar situaciones como las descritas) comprobar los datos del desarrollador por si nos «están colando» otra cosa.

Deja un comentario