La industria de la ciberseguridad ha descubierto recientemente más de 280 aplicaciones fraudulentas diseñadas para dispositivos Android que contienen un malware capaz de ejecutar el reconocimiento óptico de caracteres (OCR) con el objetivo de robar las contraseñas de las carteras digitales que almacenan criptomonedas.
El OCR es una tecnología que permite convertir diversos tipos de documentos, como imágenes, en un formato de texto. Durante este proceso, el contenido se transforma en cadenas de caracteres que pueden ser leídas por ordenadores u otros dispositivos informáticos.
El equipo de investigación de dispositivos móviles de McAfee ha descubierto recientemente un nuevo tipo de malware para dispositivos móviles que se apodera de las credenciales de acceso a las criptocarteras mediante el uso del OCR en el dispositivo que las almacena.
Método de Ataque a las Criptocarteras
Las billeteras de criptomonedas emplean claves nemotécnicas, es decir, frases de doce palabras con las que se pueden recuperar estas billeteras, y que los usuarios suelen guardar mediante capturas de pantalla por si las necesitan en el futuro.
Los ciberdelincuentes han desarrollado una serie de aplicaciones fraudulentas -más de 280, según las comprobaciones de McAfee- en las que han integrado el software malicioso SpyAgent, que logra recopilar estas credenciales a través del OCR.
Para distribuir estas aplicaciones fraudulentas, los delincuentes lanzan campañas de phishing a través de diferentes canales, como redes sociales, haciéndose pasar por organizaciones o personas de confianza con notificaciones urgentes que contienen enlaces maliciosos.
Estas páginas web fraudulentas tienen una apariencia legítima y solicitan a las víctimas que descarguen los paquetes Android (APK) que contienen el malware mencionado.
Expansión y Evolución del Ataque
Una vez descargada la aplicación, esta solicita una serie de permisos que se deben aprobar para que funcione correctamente, pero que en realidad sirven para otorgar acceso a información confidencial, como mensajes SMS, contactos o imágenes, así como para ejecutarse en segundo plano.
El malware se puede introducir en el almacenamiento del terminal, lo que le permite acceder a la galería y buscar la captura de pantalla que contiene la clave nemotécnica, y luego emplear el OCR para acceder a la cartera de criptomonedas instalada en el dispositivo.
Este malware funciona como un agente capaz de recibir y ejecutar instrucciones de un servidor remoto, lo que significa que el dispositivo infectado podría utilizarse para distribuir otras campañas de phishing.
Inicialmente, este ataque se dirigió a los dispositivos móviles de usuarios de Corea, y los primeros indicios de su existencia datan de enero de 2024. Aunque su expansión se está neutralizando con la implementación de productos de seguridad desarrollados por McAfee, este malware sigue evolucionando.
Ahora, el malware se ha adaptado para explotar las emociones personales de las víctimas y ha llegado a imitar esquelas online. Si bien no está muy extendido, su impacto se intensifica cuando accede a la agenda de contactos del terminal y envía mensajes SMS engañosos. Además, es posible que los ciberdelincuentes estén planeando expandir el ataque a dispositivos iOS, aunque no se ha podido comprobar hasta el momento.