Troyano – CryptoNews

Un equipo de investigación detectó un nuevo tipo de virus troyano, que ha afectado a más de 400 aplicaciones de la Play Store de Android, entre las que se encuentra 95 wallets de bitcoin (BTC) y criptomonedas.

Según la empresa de ciberseguridad, Group-IB, en su investigación destacaron que este troyano se ha encontrado operativo desde marzo de 2022, cuando se detectaron las primeras vulnerabilidades. Sin embargo, al día de hoy, muchos usuarios pueden estar infectados.

El troyano denominado Godfather (El Padrino) tiene como principal objetivo el ataque a apps bancarias. Entre sus capacidades se encuentra el generar notificaciones que redirigen a páginas webs fraudulentas, donde se le pide al usuario ingresar dantos personales, que son capturados por los servidores de los delincuentes.

Si bien esta se centra en apps bancarias, Group-IB determinó que 94 wallets de criptomonedas se vieron afectadas en 2022 por este troyano, aunque no especificó cuáles eran.

La vulnerabilidad se generó debido a que el virus tiene la capacidad de acceder servicios dentro de las aplicaciones. Si bien el troyano no es capaz de descifrar la criptografía con la que se almacenan las claves privadas, al revelar la semilla de recuperación, este puede tomar una captura de pantalla que es compartida con los hackers, esto según determinó el grupo de investigación.

Godfather está basado en un antiguo troyano conocido como Anubis, que, según Group-IB, había sido parchado de las nuevas versiones de Android, por lo que habría perdido su efectividad. Sin embargo, las actualizaciones en el código de Godfather le han permitido sobrevivir.

Group-IB ha llamado la atención de dos aplicaciones, las cuales están sirviendo como vehículo del troyano. Una de ellas es Currency Convert Plus, una herramienta app para la conversión de divisas. La otra es una versión de Google Protect, que emula su funcionamiento como antivirus, pero que termina por instalar Godfather en los dispositivos móviles. En este último caso, se trata de aplicaciones instaladas desde fuentes de terceros, como páginas webs piratas.

En el pasado, virus similares han azotado a los usuarios de criptomonedas. Según reportó CriptoNoticias, en 2020 usuarios de Chile, Brasil y Colombia, se vieron afectados por el virus Mekotio, esta vez, dirigido a computadoras personales que robaba información de wallets a través de spam e ingeniería social.

Troyano es una categoría que se da a los virus que infectan dispositivos digitales a través de otras aplicaciones aparentemente inofensivas. Estos son una analogía del Caballo de Troya de la Odisea de Homero.

Fuente: https://www.criptonoticias.com/tecnologia/troyano-android-afecta-cerca-100-wallets-bitcoin-criptomonedas/

El troyano «Mekotio» pasó del malware bancario convencional que se ajustó para robar criptomonedas.

Los expertos en seguridad cibernética advierten sobre una familia de troyanos bancarios que tienen como objetivo a usuarios de Windows en América Latina, pero este troyano se enfoca en robar criptomonedas.

Según un informe publicado por la empresa de seguridad cibernética ESET, el malware se conoce como «Mekotio» y ha estado activo desde aproximadamente marzo de 2018. Desde entonces, los creadores de la amenaza han estado mejorando continuamente las capacidades y el alcance del ataque, principalmente conocido por atacar a más de 51 bancos.

Pero ahora el troyano se está centrando en Bitcoin (BTC), en lugar de solo robar detalles bancarios. Esto implica que Mekotio está dirigido a usuarios individuales.

España también está en el radar de Mekotio

Las campañas maliciosas fueron entregadas a través de correos electrónicos de phishing por los hackers, y están dirigidas principalmente a Chile y otros países de esa región. Aun así, se han reportado algunos casos en España.

La investigación especifica que se incluye un enlace dentro del cuerpo del correo electrónico, donde los usuarios hacen clic en él y descargan un archivo .zip. Una vez que el usuario descomprime el archivo, aparece un instalador .msi. Si el usuario lo instala, el ataque de Mekotio es exitoso.

Daniel Kundro, un experto en ciberseguridad de ESET, explicó que Mekotio reemplaza las direcciones de billetera BTC copiadas en el portapapeles. Si la víctima quiere hacer una transferencia cripto copiando y pegando una dirección de billetera en lugar de escribirla manualmente, el exploit reemplaza la dirección de billetera de la víctima con la del criminal.

Direcciones de billetera de BTC de varios cibercriminales están involucradas en el ataque

Kundro advierte que los ciberdelincuentes detrás de Mekotio no usan una sola dirección de billetera para recibir su BTC robado. A menudo usan varias billeteras BTC para evitar el rastreo fácil de transacciones.

Pero el troyano no se limita a solo robar criptomonedas y detalles bancarios, sino que también implementa un ataque para robar contraseñas almacenadas en navegadores web.

Según un estudio reciente realizado por Group-IB, un ransomware conocido como ProLock se basa en el troyano bancario Qakbot para lanzar el ataque y pide a las víctimas rescates de seis cifras en dólares pagados en BTC para descifrar los archivos.

Los expertos forenses en criptomonedas de Xrplorer también advirtieron el 15 de junio sobre una elaborada estafa de phishing donde los hackers intentan robar las claves secretas de los usuarios de XRP, bajo la falsa premisa de que Ripple está regalando tokens.

Fuente: https://es.cointelegraph.com/news/a-banking-trojan-that-steals-crypto-is-targeting-latin-american-users

Moris Beracha – CryptoNews

Etiqueta: Troyano

Un troyano de Android afecta a cerca de 100 wallets de bitcoin y criptomonedas

Un troyano bancario que roba criptomonedas se dirige a usuarios latinoamericanos