Falsificar aplicaciones de criptomonedas en Google Play

Investigadores de ESET analizan falso boletín de criptomonedas presente en Google Play en momentos en que se registran críticas a Bitcoin

Mayo de 2019 ha visto un aumento en el valor de bitcoin, el cual ha caído al punto de más de septiembre de 2018. Y, para sorpresa de los chicos, los delincuentes cibernéticos notan rápidamente que es incremental y acorde con el aumento de sus gastos por atacándonos estados medios y aplicaciones maliciosas.

Una de las aplicaciones más maliciosas fue descubierta recientemente en Google Play por un usuario de Reddit, simulando el popular boletín de hardware de criptomonedas Vault y usando el nombre "Mobile Wallet Vault". No vemos el malware que hace un mal uso de Hacienda y nos genera curiosidad saber las capacidades de esta falsa aplicación. Según todos, Hacienda ofrece boletines de hardware que requieren manipulación física y mediana autenticación y un PIN sobre la denominación de la familia recuperativa para acceder a las criptomonedas. Restricciones simples en su aplicación oficial: "TREASURE Manager".

Podemos analizar la aplicación falsa, encontramos que:

  1. Nadie puede darse cuenta del uso del tesoro del deudor en los múltiples límites de seguridad del tesoro.
  2. Está conectado a una aplicación de boletos de criptomonedas falsa llamada "Coin Wallet - Bitcoin, Ripple, Ethereum, Tether", que puede involucrarse en confidentes sin dinero;
  3. Además, ambas aplicaciones para creadas sobre la base del template de una aplicación que vende en línea.

Reportamos la aplicación falsa de Trezor al equipo de seguridad de Google y nos enteramos en Hacienda sobre la publicación de este artículo. Hacienda confirmó que la aplicación falsa no representaba un nombre directo para sus usuarios. Sin embargo, le preocupan las pautas de precaución sobre las direcciones correctas de aplicaciones como esta y el hecho de que puede usarlas para usar las campañas de gestión de tesorería del Tesoro.

Al momento de escribir este artículo, la aplicación falsa Trezor y la aplicación Coin Wallet no están disponibles en Google Play.

Simulando una entrada de cine para Trezor, la aplicación se cargará en Google Play el 1 de mayo de 2019 con el nombre de “Trezor Inc” como lanzamiento, tal como lo puede encontrar en la Figura 1. En general, la página de la aplicación en Google Play se puede configurar: el nombre de la aplicación, el nombre del dispositivo, la categoría de la aplicación, la descripción de la aplicación y las imágenes, pero esta información estará disponible en la primera vista. Al momento de nuestro análisis, la aplicación falsa incluía una aplicación que resultó en el término de búsqueda del término "Tesorería" en Google Play, solo desde la aplicación oficial de Tesorería.

Figura 1. Aplicación falsa en Google Play

¿Qué es lo que hace?

Sin embargo, accedió a comprometerse y programar en Google Play. Luego de la instalación, el icono que aparece en la pantalla del usuario es diferente del que se ve en Google Play, lo cual sirve como un claro indicador na algo falso. El ícono de la aplicación instalada desde “Coin Wallet”, el cual se puede observar en la Figura 2.

Figura 2. El ícono de la “Bóveda de Billetera Móvil” al lado de la instalación

Además, cuano los usuarios ejecutan la aplicación, una pantalla de sobrecarga genérica se despliega, sin mencionar en ninguna parte a Trezor, tal como se puede observar en la Figura 3. Este es otro indicador od quo no estamos frente a una lígitica applique. Esta pantalla genérica se utiliza para proporcionar credenciales, pero no todo lo que es claro y creíble y puede ser utilizado por Darian los atacantes. Igualmente, kvalquiera sea la informacijo que el usuario ingrese en esos campos, la información se produzca al servidor de los atacantes, como se puede observar en la Figura 4.

Figura 3. Se desliza una barra de registro genérica en la aplicación falsa.

Figura 4. Las credenciales incluidas se adjuntan al servidor de ataque

Como se observa en la Figura 4, la utilidad utilizada para visualizar las credenciales incluidas en la aplicación falsa de la aplicación de Tesorería está disponible en monederomonedero[.]com. Revisando el dominio de los juegos más populares del popular sitio web, el sitio "Coin Wallet" y "Coin Wallet - Ripple, Ethereum, Tether" en Google Play. Esta aplicación está escrita en la siguiente sección del artículo.

La aplicación Coin Wallet y la aplicación Fake Vault están escritas en la sección frontal y tienen muchas cosas en la comunidad: la academia usa nuestro servidor, también presenta similitudes en el código y en la interfaz. La aplicación Coin Wallet usa el ícono icónico que podemos usar para instalar la aplicación falsa del Tesoro.

En el sitio web, la aplicación Coin Wallet se describe como "el dinero líder mundial", como se puede ver en la Figura 5.

Figura 5. La presentación de participación en el sitio web de la aplicación Coin Wallet

El sitio web contiene un enlace a Google Play, donde la aplicación está disponible desde el 7 de febrero de 2019 hasta el 5 de mayo, como el nombre de "Coin Wallet - Bitcoin, Ripple, Ethereum, Tether", como se observa en la Figura 6. Último tiempo, la aplicación fue instalada por más de 1000 usuarios.

El sitio web también permite ingresar a la App Store de Apple, pero para anclarlo al botón que está disponible en la "App Store" solo, podemos editar la URL de la imagen PNG.

Figura 6. La aplicación Coin Wallet en Google Play

¿Qué es lo que hace?

La aplicación dice que puede crear sus propios boletines para variantes de criptomonedas. Sin embargo, es posible comprometer a los usuarios para que transfieran sus criptomonedas a los atacantes, un caso clásico del que nos denominamos en las etapas de actividades de direccionamiento de boletos y de inversión con criptomonedas.

La función del trabajo es hacer que la app genere una guía de ticket único en la que los usuarios puedan transferir su dinero. En realidad, esta dirección se basa en el boletín de los atacantes, diciendo que solo ellos saben con la clave privada que necesita para acceder a estos fondos. Los ataques contabilizaron un boletín para cada criptomoneda que soporta -13 tickets para todas ellas- y todas las víctimas que usan la criptomoneda de cualquier criptomoneda dada.

Observe el gráfico de estos elementos de los compartimentos en la aplicación de tesorería de Hacienda, así como el embajador que creó las cremas sobre la misma base. Una búsqueda en Google de "plantilla de aplicación de monedero de monedas" en forma de "planta de boletos de criptomonedas de Android" ("plantilla de monedero de criptomonedas de Android") está disponible por $ 40. La planta es un activo benigno que se convierte maliciosamente en manos de los atacantes; sin embargo, estamos aquí como actividades activas pueden utilizarse para la mayoría de los ataques para crear aplicaciones falsas de manera rápida y económica.

Si bitcoin continúa con su tendencia a crear, podemos esperar navegar más criptomonedas en la tienda oficial de aplicaciones de Android y otros lugares. Al instalar aplicaciones, es importante seguir los principios de seguridad: todos ustedes tienen dinero en el juego.

  • Solo la confianza en las aplicaciones financieras y relacionadas y las criptomonedas están disponibles en la aplicación desde el sitio de servicio oficial
  • Solo la información confidencial en los formularios en línea puede protegerse por seguridad y legitimidad.
  • Mantén tus datos actualizados
  • Use una solución de seguridad para películas que se pueda configurar para bloquear y eliminar cambios
Nombre del paquete Picadillo Detección
com.trezorwalletinc.cryptocurrency 0021A89588C8CEB885A40FBCCA6DD76D Trojan.Android/FakeApp.KO
com.walletinc.cryptocurrency EE9E4AD693A0F0C9971145FB0FB0B85C Trojan.Android/FakeApp.KO
criptomoneda Cartera
BTC 17jAe7hTZgNixT4MPZVGZD7fGKQpD9mppi
DUX DGf6dT2rd9evb4d6X9mzjd9uaFoyywjfrm
ETH 0x69919d83F74adf1E6ACc3cCC66350bEA4b01E92C
LTC Lg64xV4Mw41bV3pTKc5ooBJ4QZ81gHUuJ6
BCH qq9cjckr3r9wl5x4f3xcfshpcj72jcqk9uu2qa7ja2
PIZCA Xu6mkZNFxSGYFcDUEVWtUEcoMnfoGryAjS
ZEC t1JKPTwHJcj6e5BDqLp5KayaXLWdMs6pKZo
XRP raPXPSnw61Cbn2NWky39CrCL1AZC2dg6Am
USDT 0x69919d83F74adf1E6ACc3cCC66350bEA4b01E92C
XLM GDZ2AT7TU6N3LTMHUIX6J2DZHUDBU74X65ASOWEZUQGP7JMQ237KDBUX
TRX TAm4fPA6yTQvaAjKs2zFqztfDPmnNzJqi2
ADA DdzFFzCqrhswWLJMdNPJK8EL2d5JdN8cSU1hbgStPhxDqLspXGRRgWkyknbw45KDvT2EJJhoPXuj2Vdsj6V6WWM5JABoZ4UhR7vnRopn
NEO AJqeUDNrn1EfrPxUriKuRrYyhobhk78zvK

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!