ADVIERTEN SOBRE APPS MÓVILES MALICIOSAS QUE PARECEN OFICIALES PERO ROBAN DATOS Y CRIPTOMONEDAS

Dos aplicaciones maliciosas denominadas “Poloniex” y “Poloniex Exchange”, que simulaban funcionar como apps oficiales de una popular casa de cambio de criptomonedas, fueron descubiertas (y eliminadas) en la tienda de aplicaciones de Android por ser parte de un ataque para robar datos y hacer transacciones online en nombre de los propietarios de esas cuentas, reveló una investigación.
Se trata del último caso registrado de una ola creciente de amenazas que buscan aprovechar el crecimiento en el uso de aplicaciones de servicios financieros o de criptomonedas.
Poloniex es una de las casas de cambio de criptomonedas más importantes del mundo -transacciona más de 100 criptodivisas como el bitcoin-, lo cual la convierte en un blanco atractivo para estafadores de todo tipo, quienes en en este caso aprovecharon la inexistencia de una aplicación móvil oficial.
Así, los atacantes desarrollaron dos aplicaciones maliciosas para Google Play con una apariencia legítima de apps móviles oficiales, que además de recolectar las credenciales de inicio de sesión (nombre de usuario, contraseña, etcétera) de Poloniex, también trataban de engañar a las víctimas para acceder a sus cuentas de Gmail, según un reporte de la empresa de seguridad informática Eset.
La primera de esas aplicaciones se coló en Google Play con el nombre “Poloniex” y, entre el 28 de agosto al 19 de septiembre últimos, fue instalada por hasta 5.000 personas, a pesar de las malas críticas dentro de la tienda de aplicaciones.
La segunda, “Poloniex Exchange”, apareció en Google Play el 15 de octubre de 2017 y alcanzó hasta 500 instalaciones antes de ser eliminada de la tienda virtual.
Primero, los atacantes necesitaban obtener las credenciales de la cuenta de Poloniex y luego obtener acceso a la cuenta de mail asociada, para controlar las notificaciones sobre inicios de sesión y transacciones no autorizadas.
Estas apps mostraban una pantalla falsa que solicitaba las credenciales de inicio de sesión en Poloniex, y si el usuario las ingresaba e iniciaba sesión, las credenciales quedaban en manos de los atacantes.
Estos conseguían acceso a la cuenta de Poloniex en caso que la víctima no tuviera habilitada la autenticación de dos factores, una herramienta de seguridad para re-verificar el acceso a una cuenta.
El acceso por parte de los atacantes a esta cuenta significaba que podían realizar transacciones en nombre del usuario, cambiar sus configuraciones, o incluso bloquearlos al cambiar la contraseña.
Si los delincuentes tenían éxito en esta primera parte, comenzaban a trabajar para acceder a la cuenta de Gmail: el usuario veía un mensaje, aparentemente en nombre de Google, que le pedía que inicie sesión con su cuenta para un control “de seguridad en dos pasos”.
Después de que el usuario hacía click en “iniciar sesión”, la app maliciosa le pedía permiso para ver los mensajes de correo electrónico, la configuración y la información básica del perfil. Si el usuario otorgaba los permisos, la aplicación obtenía acceso a su bandeja de entrada.
Con el acceso a la cuenta de Poloniex del usuario y a la cuenta de Gmail asociada, los atacantes podían realizar transacciones usando la cuenta comprometida y borrar cualquier notificación sobre el inicio de sesión y las transacciones no autorizadas desde la bandeja de entrada de la víctima.
Esta amenaza enfocada en las transacciones financieras, tanto en aplicaciones como en navegadores, forma parte de una tendencia que comenzó a incrementarse en el último mes, analizó en diálogo con Télam Cristian Borghello, especialista en seguridad informática y director de Proyecto Odila.
En esta línea, varios casos recientes mostraron que los atacantes esconden códigos en los navegadores y aprovechan la visita de internautas, sin que estos lo adviertan, para utilizar su computadora para minar bitcoins (el proceso informático a través del cual se genera la divisa) y quedarse con la ganancia.
Este tipo de ataque “usa el poder de cómputo de las máquinas afectadas para minar criptomomedas y ese proceso siempre es mayor a 80%”, explicó Borghello.
Por eso, la persona puede advertir como señal que su computadora, navegador o celular puede ser potencialmente víctima de esta amenaza “porque se pone extremadamente lenta”, advirtió Borghello.
Mientras que en el caso de las apps, el especialista recomendó verificar los permisos que se le otorgan al momento de la descarga y no bajar cualquier aplicación que llame la atención.
Desde Eset recomendaron a los usuarios de Poloniex que cambien sus contraseñas de ese servicio y de Gmail.