Investigadores de ciberseguridad han descubierto una serie de aplicaciones maliciosas en la App Store de Apple que se hacen pasar por carteras de criptomonedas populares e intentan robar frases de recuperación y claves privadas desde al menos el otoño de 2025.
«Cuando se lanzan, estas aplicaciones redirigen a los usuarios a una página del navegador que se parece a la App Store y distribuyen versiones troyanizadas de billeteras legítimas», dijo el investigador de Kaspersky Sergey Puzan. «La aplicación infectada está diseñada específicamente para secuestrar su frase de recuperación y su clave privada».
Las 26 aplicaciones, denominadas colectivamente «FakeWallets», imitan una variedad de billeteras populares, incluidas Bitpie, Coinbase, imToken, Ledger, MetaMask, TokenPocket y Trust Wallet. Apple eliminó muchas de estas aplicaciones tras la divulgación. No hay evidencia de que estas aplicaciones se hayan distribuido a través de Google Play Store.
En el pasado, las carteras de criptomonedas maliciosas distribuidas a través de sitios web falsos explotaban los perfiles de aprovisionamiento de iOS para engañar a los usuarios para que las instalaran, pero los últimos esquemas de robo de criptomonedas han mejorado de varias maneras. En primer lugar, si los usuarios tienen sus cuentas de Apple configuradas en China, las aplicaciones se pueden descargar directamente desde la App Store de Apple.
Estas aplicaciones tienen íconos que reflejan el original, pero contienen errores tipográficos intencionales en sus nombres (por ejemplo, LedgeNew) para engañar a los usuarios desprevenidos para que las descarguen. En algunos casos, es posible que el nombre o el ícono de una aplicación no tengan nada que ver con las criptomonedas. En cambio, se utilizan como marcadores de posición para dirigir a los usuarios a descargar la aplicación de billetera oficial, alegando que «no está disponible en la App Store» por razones regulatorias.
Kaspersky dijo que también identificó varias aplicaciones similares probablemente relacionadas con el mismo actor de amenazas. Se ha descubierto que estas aplicaciones imitan servicios benignos como juegos, calculadoras y planificadores de tareas, sin ninguna funcionalidad maliciosa habilitada. Una vez iniciadas, estas aplicaciones abren un enlace en un navegador web y utilizan un perfil de aprovisionamiento empresarial para instalar una aplicación de billetera en el dispositivo de la víctima.
«Los atacantes crearon una gran cantidad de módulos maliciosos diferentes, cada uno adaptado a una billetera específica», dijo Puzan. «El malware se distribuye con mayor frecuencia mediante la inyección de bibliotecas maliciosas, pero también hemos descubierto compilaciones en las que se ha modificado el código fuente original de la aplicación».
El objetivo final de estas infecciones es buscar frases mnemotécnicas de billeteras frías y calientes y exfiltrarlas a servidores externos, permitiendo a los operadores tomar el control de las billeteras de las víctimas y exfiltrar activos de criptomonedas o iniciar transacciones fraudulentas.
La frase inicial se captura conectando el código responsable de la pantalla donde el usuario ingresa la frase de recuperación, o proporcionando una página de phishing que indica a la víctima que ingrese el mnemotécnico como parte de un supuesto paso de verificación.
Sospechamos que esta campaña puede ser obra de actores de amenazas asociados con la campaña del troyano SparkKitty del año pasado, dado que algunas de las aplicaciones infectadas también incluyen un módulo que utiliza el reconocimiento óptico de caracteres (OCR) para robar frases de recuperación de billeteras, y que ambas campañas parecen ser obra de hablantes nativos de chino y apuntan específicamente a activos de criptomonedas.
«Las campañas de billeteras falsas están ganando impulso al emplear nuevas tácticas, desde entregar cargas útiles a través de aplicaciones de phishing publicadas en la App Store, hasta incrustarlas en aplicaciones de billeteras frías y usar sofisticadas notificaciones de phishing para engañar a los usuarios para que revelen mnemónicos», dijo Kaspersky.
Presentamos el marco de malware para Android MiningDropper
El descubrimiento se produce cuando Cyble arroja luz sobre un sofisticado marco de entrega de malware para Android conocido como MiningDropper (también conocido como BeatBanker) que combina la minería de criptomonedas con el robo de información, acceso remoto y malware bancario en ataques dirigidos a usuarios en India, así como en América Latina, Europa y Asia como parte de la campaña BTMOB RAT.
MiningDropper se distribuye a través de una versión troyanizada del proyecto de aplicación de código abierto para Android Lumolight, y la campaña utiliza sitios web falsos que se hacen pasar por instituciones bancarias y autoridades de transporte locales para difundir el malware. Una vez iniciado, activa una secuencia de varios pasos para extraer la carga útil del minero y del troyano del archivo de activos cifrados presente en el paquete.
«MiningDropper emplea una arquitectura de entrega de carga útil de múltiples etapas que combina ofuscación nativa basada en XOR, preparación de carga útil cifrada con AES, carga dinámica de DEX y técnicas anti-emulación», dijo Cyble. «MiningDropper emplea una arquitectura de entrega de carga útil de varias etapas que combina ofuscación nativa basada en XOR, preparación de carga útil cifrada con AES, carga dinámica de DEX y técnicas anti-emulación».
«MiningDropper demuestra una arquitectura de malware de Android modular y en capas diseñada para dificultar el análisis estático y al mismo tiempo brindar a los actores de amenazas flexibilidad en la entrega de la carga útil final. Este diseño permite a los actores de amenazas reutilizar el mismo marco de distribución e instalación en cientos de muestras mientras adaptan sus objetivos finales de monetización a sus necesidades operativas».
Source link
