Underc0de - La Casa de los Informáticos

Investigadores de ciberseguridad han descubierto una campaña sofisticada que compromete la seguridad del ecosistema móvil de Apple. Un conjunto de aplicaciones maliciosas, identificado como FakeWallet, logró infiltrarse en la App Store haciéndose pasar por populares carteras de criptomonedas, con el objetivo de robar frases de recuperación (seed phrases) y claves privadas de los usuarios.

El hallazgo, reportado por expertos de Kaspersky, pone en evidencia cómo incluso plataformas altamente controladas pueden ser utilizadas como vector de ataque cuando los ciberdelincuentes emplean técnicas avanzadas de evasión y engaño.

¿Qué es FakeWallet y cómo funciona?

La campaña FakeWallet está compuesta por al menos 26 aplicaciones fraudulentas que imitaban carteras ampliamente utilizadas como:

• MetaMask
• Trust Wallet
• Coinbase Wallet
• Ledger Live
• imToken

Estas aplicaciones replicaban los iconos y la apariencia visual de las versiones legítimas, pero incluían errores tipográficos deliberados en sus nombres (por ejemplo, "LeddgerNew") para evadir controles automatizados y engañar a los usuarios.

Una vez instaladas, las apps redirigían a los usuarios a páginas web diseñadas para parecerse a la App Store, desde donde se distribuían versiones troyanizadas de las carteras originales.

Un vector de ataque más sofisticado

A diferencia de campañas anteriores, donde los usuarios debían instalar aplicaciones desde sitios externos utilizando perfiles empresariales de iOS, FakeWallet introduce una evolución crítica: las aplicaciones estaban disponibles directamente en la App Store.

Sin embargo, su distribución estaba condicionada a cuentas de Apple configuradas en regiones específicas, como China, lo que permitió a los atacantes segmentar sus objetivos y reducir la probabilidad de detección global.

Además, algunos de estos programas no aparentaban estar relacionados con criptomonedas. En su lugar, se presentaban como:

• Juegos
• Calculadoras
• Aplicaciones de productividad

Estas apps actuaban como "marcadores" que, al ejecutarse, abrían enlaces externos para instalar las versiones maliciosas de las carteras.

Técnicas de infección y robo de datos

El objetivo principal del malware es capturar las frases semilla y claves privadas, elementos críticos que permiten el control total de una cartera de criptomonedas.

Para lograrlo, los atacantes utilizan múltiples técnicas:

1. Inyección de código malicioso

Las aplicaciones integran bibliotecas maliciosas que interceptan la interacción del usuario, especialmente en pantallas donde se introducen frases de recuperación.

2. Phishing integrado

Algunas variantes muestran páginas falsas dentro de la app solicitando a los usuarios que ingresen sus mnemotécnicos como parte de un supuesto proceso de verificación.

3. Reconocimiento óptico de caracteres (OCR)

En ciertos casos, el malware puede escanear capturas de pantalla o imágenes almacenadas en el dispositivo para identificar frases semilla.

Una vez obtenida esta información, se envía a servidores controlados por los atacantes, quienes pueden acceder a las carteras y transferir los fondos sin el consentimiento del usuario.

Posible vínculo con campañas anteriores

Los investigadores sospechan que FakeWallet podría estar relacionado con la campaña SparkKitty, detectada el año anterior. Ambas comparten características clave:

• Uso de módulos especializados por tipo de cartera
• Enfoque en el robo de frases semilla
• Indicios lingüísticos que apuntan a actores de habla china

Esto sugiere la existencia de grupos organizados con capacidades avanzadas y un enfoque claro en el robo de activos digitales.

Respuesta de Apple y estado actual

Tras la divulgación del informe, muchas de las aplicaciones maliciosas fueron eliminadas de la App Store por Apple. No obstante, el incidente plantea serias dudas sobre los mecanismos de revisión de aplicaciones y la capacidad de detectar amenazas altamente dirigidas.

Hasta el momento, no hay evidencia de que estas apps hayan sido distribuidas a través de Google Play Store, lo que indica que la campaña estuvo centrada en usuarios de iOS.

MiningDropper: nueva amenaza en Android

Paralelamente, la firma Cyble ha identificado un marco de malware para Android denominado MiningDropper (también conocido como BeatBanker), que amplía el panorama de amenazas móviles.

Este malware combina múltiples capacidades:

• Minería de criptomonedas
• Robo de información
• Acceso remoto (RAT)
• Funcionalidades de malware bancario

MiningDropper se distribuye mediante aplicaciones troyanizadas basadas en proyectos legítimos como Lumolight, utilizando sitios web falsos que simulan ser instituciones bancarias o entidades gubernamentales.

Arquitectura avanzada de malware

Una de las características más destacadas de MiningDropper es su arquitectura modular y multicapa:

• Ofuscación mediante XOR
• Cifrado de cargas útiles con AES
• Carga dinámica de código DEX
• Técnicas de anti-emulación

Este enfoque permite a los atacantes reutilizar la misma infraestructura para diferentes campañas, adaptando el tipo de malware según sus objetivos.

Impacto global y regiones afectadas

Las campañas de MiningDropper han afectado principalmente a usuarios en:

• India
• América Latina
• Europa
• Asia

Esto demuestra la naturaleza global de las amenazas móviles y la creciente sofisticación de los actores maliciosos.

Recomendaciones de seguridad para usuarios

Ante este panorama, es fundamental adoptar medidas preventivas:

• Verificar desarrolladores: Antes de descargar una app, comprobar la autenticidad del desarrollador.
• Evitar introducir frases semilla: Ninguna app legítima debe solicitar tu frase de recuperación fuera del proceso inicial.
• Activar autenticación multifactor (MFA): Añade una capa adicional de seguridad.
• Actualizar el sistema operativo: Mantener el dispositivo actualizado reduce vulnerabilidades.
• Usar soluciones de seguridad móvil: Detectan comportamientos sospechosos en tiempo real.

En fin...

La campaña FakeWallet demuestra que incluso ecosistemas cerrados como la App Store no están exentos de amenazas avanzadas. La combinación de ingeniería social, suplantación de identidad y técnicas sofisticadas de malware permite a los atacantes explotar el factor humano y comprometer activos digitales de alto valor.

A medida que las criptomonedas continúan ganando adopción, también aumentan los incentivos para los ciberdelincuentes. La seguridad ya no depende únicamente de las plataformas, sino también de la vigilancia y educación del usuario.

En este contexto, la mejor defensa sigue siendo la prevención, la verificación constante y una actitud crítica frente a cualquier solicitud de información sensible.

Fuente: https://thehackernews.com/