Un 'malware' integrado en más de 280 aplicaciones falsas de Android utiliza OCR para robar contraseñas de criptocarteras

Investigadores de ciberseguridad han descubierto más de 280 aplicaciones fraudulentas diseñadas para dispositivos con sistema operativo Android que contienen un 'malware' capaz de ejecutar el reconocimiento óptico de caracteres (OCR) para robar contraseñas de carteras digitales contenedoras de criptomonedas. El OCR es una tecnología que permite convertir distintos tipos de documentos, como imágenes, en un formato de texto. En este proceso, éste se transforma en cadenas de caracteres que pueden ser leídas por ordenadores u otros dispositivos informáticos. El equipo de investigación de dispositivos móviles McAfee ha descubierto recientemente un nuevo tipo de 'malware' para dispositivos móviles que se hace con las credenciales de acceso de las criptocarteras mediante el OCR del dispositivo que las almacena. La firma ha recordado que este tipo de billeteras emplea claves nemotécnicas, es decir, frases de doce palabras con las que se pueden recuperar estas billeteras de criptomonedas y que los usuarios suelen guardar con capturas de pantalla por si en un futuro lo necesitaran. De esta manera, ciberdelincuentes han desarrollado una serie de aplicaciones fraudulentas -más de 280, según sus comprobaciones- en las que han integrado el 'software' malicioso SpyAgent, que logra recopilar estas credenciales a través de OCR. Para empezar, promocionan estas 'apps' mediante campañas de 'phishing' que lanzan a través de diferentes canales, como redes sociales, en las que los ciberdelincuente se hacen pasar por organizaciones o personas de confianza con notificaciones urgentes contenedoras de url maliciosas. Estas dirigen a páginas web que llevan a sitios falsos con una apariencia legítima y que solicitan a las víctimas descargar las Android Package Kit (APK) que contienen el comentado 'malware', tal y como han señalado desde McAfee. Asimismo, una vez se descarga la aplicación, esta solicita una serie de permisos que se deben aprobar para que la aplicación funcione correctamente, pero que en realidad sirven para otorgar acceso a información confidencial, como mensajes SMS, contactos o imágenes, así como para ejecutarse en un segundo plano. Debido a que el 'malware' se puede introducir en el almacenamiento del terminal, puede acceder a la galería y buscar la captura de pantalla contenedora de la mencionada clave nemotécnica y emplear el OCR para acceder a la cartera de criptomonedas instalada en el dispositivo. Con ello, la empresa de ciberseguridad ha indicado que el 'software' malicioso funciona como un agente capaz de recibir y ejecutar instrucciones del servidor remoto, de manera que el dispositivo infectado se podría utilizar para distribuir otras campañas de 'phishing'. Finalmente, ha mencionado que este ataque se ha dirigido a los dispositivos móviles de usuarios de Corea, que los primeros indicios de su existencia datan de enero de 2024 y que se está neutralizando su expansión al implementar algunos de los productos de seguridad que desarrolla. No obstante, ha reconocido que se trata de un 'malware' en constante evolución que inicialmente de hacía pasar por aplicaciones para préstamos de dinero o servicios gubernamentales, pero que ahora se ha adaptado para "explotar las emociones personales" y ha llegado a imitar esquelas 'online'. Así, ha dicho que, aunque este 'malware' no está muy extendido, su impacto se intensifica cuando accede a la agenda de contactos del terminal y envía mensajes SMS engañosos. Asimismo, ha adelantado que es posible que los ciberdelincuentes estén planeando expandir el ataque a dispositivos iOS, aunque no han podido comprobarlo hasta ahora.