Debes eliminar ya estas 4 apps de tu móvil Android, porque son malware y te roban sin darte cuenta. Se trata de una investigación elaborada por Trend Micro, que cuenta con un servicio de reputación de aplicaciones móviles y determinó que tras varias apps populares, realmente había dos nuevas familias de malware vinculadas con la minería de criptomonedas.
Además de ello, tras estas apps se esconde una campaña de estafa financiera y ataques phishing ejecutados contra usuarios de terminales Android, quienes son robados en muchos casos, sin darse cuenta de que fueron estas aplicaciones las que los colocaron en riesgo.
Lo que no debes hacer al navegar por Internet para evitar virus y malware
Cómo funciona el ataque con estas apps fraudulentas
Los cibercriminales comenzaron a utilizar las redes sociales para promocionar los servicios fraudulentos que están detrás de una web maliciosa en la que están alojadas las aplicaciones falsas, todas ellas con el malware CherryBlos.
Este malware tiene una cadena única utilizada dentro de su marco de secuestro, para robar credenciales que están relacionadas billeteras de criptomonedas, además de poder reemplazar las direcciones de las víctimas mientras realizan retiros.
Muchas de estas apps fraudulentas llegaron a Google Play en 2021, que contenían el malware FakeTrade que estaba escondido detrás de aplicaciones de comercio electrónico fraudulentas, que prometían mayor rentabilidad, por referidos y depósitos, pero al intentar retirar, los usuarios tenían problemas para obtener sus fondos.
Nuevo ataque, mismo sistema
El mismo modo de operación lo está implementando el malware CherryBlos, también conocido como Robot 999, que apareció inicialmente en abril de 2023 y que surgió desde un grupo de Telegram llamado Ucrania ROBOT, vinculado con criptomonedas.
En total, han sido identificadas 4 aplicaciones con el malware CherryBios incorporado, que vienen con esta infección oculta y que tienen detrás un phishing para capturar datos de los usuarios cuando ingresen en wallet de criptomonedas y en apps vinculadas.
Nombre | Nombre del paquete | Dominio del phishing |
---|---|---|
GPTalk | com.gptalk.wallet | chatgptc[.]io |
Happy Miner | com.app.happyminer | happyminer[.]com |
Robot 999 | com.example.walljsdemo | robot999[.]net |
SynthNet | com.miner.synthnet | synthnet[.]ai |
En el caso de la aplicación GPTalk, emplearon una cuenta falsa de TikTok que hacía promoción al sitio web de phishing. Mientras que para la app SynthNet, utilizan una cuenta en X (antiguamente Twitter) y también utilizan un canal de Telegram.
El principal problema de este malware es que está diseñado para que no se pueda detectar fácilmente. Para lograrlo, es empaquetado en un sistema comercial llamado Jiagubao. Además de ello, el cifrado del malware está establecido por el empaquetador y no directamente por el autor, lo que establece cierta confianza sobre la app.
Pero esto tiene una explicación y es que emplean herramientas de pago, que no son trazables, para cubrir la detección del malware haciendo uso de protección avanzada y mayores capacidades de evasión de seguridad.
El principal objetivo de esta infección es lograr la suplantación de identidad de las billeteras de los usuarios, pero tiene limitaciones en cuanto a los permisos de accesibilidad, que son otorgados directamente por el usuario y para ello hace uso de estas aplicaciones fraudulentas.
En un segundo momento, el malware descargará dos archivos de configuración de su servidor, una vez que ha recibido los permisos de los usuarios, esto garantiza que no sean detectados en un primer momento por los antivirus. Estos archivos son los que almacenan la cadena de recursos y el sistema de comunicación para enviar la información a los ciberdelincuentes.
Si tienes uno de estos 24 antivirus, este malware te infecta sin ser detectado
- Ver Comentarios