Piratas clonan billeteras móviles Coinbase y MetaMask para robar su criptografía

Los investigadores de seguridad han descubierto una operación maliciosa a gran escala que utiliza aplicaciones de billetera de criptomonedas móviles troyanizadas para los servicios Coinbase, MetaMask, TokenPocket e imToken.

La actividad maliciosa se identificó a principios de este año en marzo. Los investigadores de Confiant llamaron a este grupo de actividad SeaFlower y lo describen como "la amenaza más sofisticada técnicamente dirigida a los usuarios de web3, justo después del infame Grupo Lazarus".

En un informe reciente, Confiant señala que las aplicaciones maliciosas de criptomonedas son idénticas a las reales, pero vienen con una puerta trasera que puede robar la frase de seguridad de los usuarios para acceder a los activos digitales.

Los actores de amenazas detrás de la actividad de SeaFlower parecen ser chinos, según sugerencias como el idioma de los comentarios en el código fuente, la ubicación de la infraestructura, los marcos y los servicios utilizados.

distribución de aplicaciones

El primer paso en la operación SeaFlower es difundir las aplicaciones troyanizadas a tantos usuarios como sea posible. El actor de amenazas logra esto a través de clones de sitios web legítimos, envenenamiento de SEO y técnicas negras de SEO.



También es posible que las aplicaciones se promocionen en canales de redes sociales, foros y publicidad maliciosa, pero el principal canal de distribución que Confiant observó son los servicios de búsqueda.

Los investigadores descubrieron que los resultados de búsqueda del motor Baidu son los más afectados por la operación SeaFlower, que dirige cantidades masivas de tráfico a los sitios maliciosos.

En iOS, los sitios abusan de los perfiles de aprovisionamiento para descargar las aplicaciones maliciosas en el dispositivo para eludir las protecciones de seguridad.

Los perfiles de aprovisionamiento se utilizan para vincular a los desarrolladores y dispositivos con un equipo de desarrollo autorizado. Permiten que los dispositivos se usen para probar el código de la aplicación, lo que los convierte en un método poderoso para agregar aplicaciones maliciosas a un dispositivo.


Aplicaciones de puerta trasera

Los analistas confiados aplicaron ingeniería inversa a las aplicaciones para descubrir cómo los autores de SeaFlower habían plantado las puertas traseras y encontrado un código similar en todas ellas.


Para la aplicación MetaMask en iOS, el código de puerta trasera se activa al generar la frase inicial y antes de que se almacene en forma cifrada. Esto significa que el actor de amenazas intercepta la frase de contraseña cuando crea una nueva billetera o cuando agrega una existente a una aplicación recién instalada.

Una de las funciones identificadas en el código de la puerta trasera, "startupload", es responsable de robar la frase semilla y enviarla a dominios que imitan a los de los proveedores legítimos.

Por ejemplo, el actor de amenazas usó solicitudes POST para filtrar las frases de contraseña a 'trx.lnfura[.]org', que se hace pasar por el 'infura.io' genuino. De manera similar, usaron 'metanask[.]cc', que imita el dominio original de MetaMask .


La clase que oculta las funciones se ofusca con el algoritmo de codificación base64 y se cifra con el sistema criptográfico RSA. Sin embargo, las claves están codificadas, por lo que los analistas podrían descifrar la puerta trasera, probar el código y validarlo en tiempo de ejecución.


El código de la puerta trasera no se ocultó tan diligentemente en las aplicaciones maliciosas de las variantes de Android, y los investigadores pudieron acceder a más de sus funciones sin mucho esfuerzo.

Un aspecto particularmente interesante en la puerta trasera descubierta es la inyección de un React Native Bundle directamente en la instancia de RCTBridge para cargar JavaScript.

Refiriéndose a este hallazgo, Taha Karim , director de inteligencia de amenazas de Confiant, compartió el siguiente comentario con BleepingComputer:

La inyección de paquetes nativos de reacción es definitivamente algo nuevo en el mundo de las puertas traseras, tiene que ver con que metamask sea una aplicación nativa de reacción. Los atacantes dedicaron tiempo a la ingeniería inversa del puente nativo de React y entendieron cómo y dónde se cargan los paquetes.

Agregaron un ajuste de logotipos para forzar que el paquete de puerta trasera se cargue en tiempo de ejecución y que javascriptcore lo ejecute. El paquete vino encriptado con RSA y oculto dentro de un archivo dylib, que también se inyecta en tiempo de ejecución.

fuentes confiables

Para protegerse contra estas amenazas furtivas, los usuarios de criptomonedas deben descargar aplicaciones de billetera solo de fuentes confiables, como tiendas de aplicaciones oficiales o del sitio web del desarrollador.

Para usuarios de iOS, instalar o aceptar perfiles de aprovisionamiento sin verificar la legitimidad de las solicitudes, ya que estas permiten instalar cualquier aplicación en sistemas iOS o macOS.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta