Una empresa de supervisión de la ciberseguridad ha descubierto que los piratas informáticos usan activamente aplicaciones de medios falsos como Skype o Telegram para organizar estafas de phishing.

Se ha descubierto un nuevo tipo de ataque de phishing a usuarios de criptomonedas

Los analistas de SlowMist han descubierto que los piratas informáticos chinos han concebido un nuevo género de ataque de phishing basado en el deseo de los usuarios locales de evitar las leyes del país y descargar aplicaciones prohibidas.

Así, los estafadores chinos crean aplicaciones falsas de plataformas de medios sociales como Telegram, WhatsApp y Skype, cuyo uso está prohibido por el gobierno chino, y distribuyen malware a través de ellas para hurtar criptomonedas.

El equipo de SlowMist identificó una forma nueva de agredir a los criptousuarios tras examinar una de estas aplicaciones. Al descompilar la aplicación falsa de Skype se descubrió la presencia de malware en el código, específicamente un framework para Android que deja a los atacantes acceder a los datos personales del usuario. Esto ocurre una vez que el usuario da permiso para acceder a ficheros internos e imágenes, lo que acostumbran a pedir las aplicaciones de medios. 

Tras conseguir acceso a los ficheros internos, el malware halla imágenes o mensajes con direcciones de monederos de criptomonedas y los reemplaza de forma automática por direcciones fraudulentas. Así, el usuario desprevenido manda criptomonedas a los ciberdelincuentes.

Los analistas de SlowMist descubrieron que solo por medio de una de estas aplicaciones falsas de Skype los atacantes lograron hurtar más de doscientos mil dólares estadounidenses a los usuarios. ciento veinte usuarios que descargaron la aplicación de phishing fueron víctimas de la estafa.

Durante el análisis, el equipo de SlowMist descubrió de qué forma identificar las aplicaciones falsas:

  • la versión de la aplicación falsa de forma frecuente no coincide con la última versión oficial;
  • los estafadores acostumbran a usar exactamente el mismo dominio de phishing, que puede mudar de apariencia múltiples veces en una semana;
  • la aplicación falsa acostumbra a ser pesada.

Los piratas informáticos utilizan activamente sitios basados en WordPress para propagar malware, y para mentir a los usuarios, los estafadores organizan sorteos gratis de criptomonedas en X (ex Twitter).

Autor: Ana Bustos García

José Manuel Gómez Aparicio