Una aplicación falsa de WalletConnect se ha instalado más de 10.000 veces en dispositivos Android a través de Google Play Store, consiguiendo robar más de 70.000 dólares en criptomonedas hasta el momento.
Cuidado, usuarios de criptomonedas: otra aplicación maliciosa para Android intenta robar sus fondos.
Una falsa aplicación «WalletConnect» que apareció en Google Play Store este año consiguió robar más de 70.000 dólares a unas 150 víctimas que descargaron la aplicación y conectaron sus criptocarteras, según un informe de los investigadores de ciberseguridad de Check Point.
La aplicación se lanzó por primera vez en marzo con el nombre de «Mestox Calculator«, pero luego cambió de nombre varias veces. También utiliza el nombre «WalletConnect – Crypto Wallet«. Otro anuncio malicioso vinculado a los mismos atacantes se lanzó en febrero como «Walletconnect | Web3Inbox«.
Check Point sospecha que los creadores de la aplicación «WalletConnect – Crypto Wallet» generaron reseñas falsas de cinco estrellas porque las reseñas parecen genéricas y no tienen nada que ver con las características de la aplicación. Pero la aplicación también recibió más de 20 comentarios que la calificaban de estafa, con una víctima que afirmaba haber perdido 615 dólares de la criptomoneda stablecoin de Tether al conectar su monedero criptográfico a la aplicación.
La aplicación ha sido eliminada de Google Play Store; si está instalada en tu teléfono, elimínala ahora.
Una vez instalada, la aplicación es en realidad un navegador web que abre un sitio de calculadora, pero esto no es más que una distracción para evitar la detección. Los usuarios serán redirigidos a un sitio malicioso si su dirección IP coincide con ciertos parámetros. Si no, permanecerán en la página de la calculadora falsa y no se verán afectados.
Aunque el sitio de la calculadora falsa no es considerado malicioso por los verificadores de enlaces gratuitos, el sitio al que se redirige a los usuarios desde allí ha sido marcado como peligroso. Se considera que el sitio secundario es sospechoso y probablemente contenga malware o una aplicación no deseada.
Desafortunadamente, esa evaluación es correcta. El código malicioso es capaz de ejecutarse fuera de la propia aplicación para evadir aún más la detección, explica Check Point, lo que convierte a la propia aplicación en «un cliente ligero» para el vaciador de criptomonedas.
La herramienta maliciosa real es MS Drainer, un tipo de malware como servicio que se dirige a los monederos de criptomonedas y está diseñado para robar los fondos de las víctimas. Check Point informa que la licencia del drainer cuesta a los atacantes alrededor de 1.500 dólares, y sus desarrolladores han codificado una comisión del 10% de los fondos robados para sí mismos en el contrato inteligente malicioso de la cadena de bloques.
En general, las criptocarteras no son muy fáciles de usar, lo que facilita a los estafadores confundir y engañar a los usuarios para robarles sus fondos. En el mundo de las criptomonedas, es habitual tener que «firmar» supuestos mensajes con sus criptocarteras solo para conectarse a sitios web y aplicaciones de criptomonedas, aunque no se esté enviando dinero. En el caso de esta aplicación maliciosa para Android, los estafadores son capaces de fingir que la acción de firmar es inocua. La aplicación comprueba primero cuánto cripto tiene el usuario e intenta robar los activos más valiosos antes de robar los tokens menos valiosos.
Dado que las criptotransacciones normales no siempre están claramente descritas o etiquetadas para el usuario, puede ser difícil para quienes no son desarrolladores de blockchain descifrar cada transacción o solicitud de firma. Incluso las transacciones legítimas pueden resultar confusas o parecer cadenas de código.
El MS Drainer se utilizó anteriormente para drenar más de 58 millones de dólares atrayendo a las víctimas a través de anuncios de phishing publicados en Google y X/Twitter. X, en concreto, ha albergado numerosos anuncios de estafas de criptomonedas, y las cuentas de usuarios verificados a menudo son pirateadas para promover estafas de criptomonedas que drenan las carteras de las víctimas.
Por desgracia, los estafadores han suplantado a WalletConnect muchas veces antes. En 2021, la verdadera WalletConnect advirtió a sus usuarios sobre otra aplicación falsa en Google Play Store.
«WalletConnect NO tiene una APP», explicaba la plataforma criptográfica, usando todo mayúsculas. «WalletConnect es un protocolo, no una app».
WalletConnect es compatible con más de 170 monederos de criptomonedas diferentes para que las aplicaciones de criptomonedas, como las plataformas de comercio de criptomonedas, los mercados o los juegos de blockchain, puedan permitir que una serie de usuarios se conecten a sus plataformas. La startup de criptomonedas Reown está detrás del WalletConnect real.