Descubierto el primer malware clipper en Google Play
- Seguridad
Se ha detectado el primer malware de Android en Google Play. Su objetivo es conseguir robar criptomonedas Bitcoins y Ethereum, por lo que redirige las transferencias realizadas en estas criptomonedas a la cuenta del atacante en lugar de a la de la víctima.
ESET ha descubierto el primer malware de Android en Google Play capaz de reemplazar el contenido de la aplicación portapapeles del dispositivo, cuyo objetivo es conseguir robar criptomonedas Bitcoins y Ethereum, por lo que redirige las transferencias realizadas en estas monedas a la cuenta del atacante en lugar de a la de la víctima.
El clipper, detectado por ESET como Android/Clipper.C se aprovecha de los usuarios que realizan transacciones con criptomonedas y que normalmente no introducen su clave manualmente, sino que la copian desde el portapapeles. El malware reemplaza la dirección escrita en el portapapeles con la del ciberdelincuente.
Los clippers aparecieron en sistemas Windows por primera vez en 2017. Ya en 2018, ESET descubrió tres aplicaciones maliciosas alojadas en download.cnet.com, uno de los sitios de hosting más conocidos del mundo. En agosto de 2018, se descubrió el primer clipper de Android, que se comercializaba en foros de hacking clandestinos. A partir de ese momento, se ha detectado este malware en varias tiendas de aplicaciones sospechosas.
El autor de esta investigación es Lukas Stefanko, quien señala que se pone de manifiesto que los clippers que redirigen criptomonedas ya no son solamente una conversación en foros escondidos de Android o de Windows, sino que son una realidad sobre la que los usuarios de Android deben estar alerta.
Los usuarios que solo utilizan la tienda oficial de Google para descargar aplicaciones estaban seguros ante este tipo de amenazas hasta ahora. No obstante, el malware se ha eliminado en cuento se le ha notificado a Google su explistencia y "afortunadamente, hemos encontrado este clipper muy poco tiempo después de su incorporación a la tienda y, en cuanto ESET ha avisado a Google, se ha eliminado”, explica Stefanko.
El clipper se hace pasar por un servicio legítimo denominado MetaMask, diseñado para utilizar apps descentralizadas de Ethereum sin abrir el modo completo de Ethereum y que se acopla a los navegadores como Chrome o Firefox como una extensión. Actualmente, no existe una versión móvil de este servicio.
La aparición de este nuevo malware supone un nuevo imperativo para que los usuarios de Android tengan en cuenta una serie de recomendaciones, como mantener el sistema actualizado, utilizar una solución de seguridad específica para dispositivos móviles, descargar solamente apps desde la tienda oficial y, en cualquier caso, comprobar la página web oficial del desarrollador para asegurarse que existe una versión móvil del servicio que ofrece. Finalmente, es necesario también verificar cualquier transacción que implique datos confidenciales o una transacción financiera. Por último, si se usa el portapapeles, debemos comprobar que lo que hemos pegado es realmente lo que queremos escribir.
