AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### Falsos monederos en la App Store: 26 apps maliciosas suplantan wallets populares para robar criptoactivos

admin

#### Introducción

En un reciente incidente que pone en jaque la confianza depositada en los controles de seguridad de la Apple App Store, investigadores han detectado al menos 26 aplicaciones maliciosas diseñadas para suplantar monederos de criptomonedas ampliamente utilizados. Estas apps fraudulentas tienen como objetivo principal el robo de frases semilla y credenciales de recuperación, permitiendo así a los atacantes vaciar los fondos de sus víctimas. El hallazgo supone un serio revés tanto para usuarios como para profesionales de la ciberseguridad, ya que evidencia la sofisticación y capacidad de los ciberdelincuentes para evadir los mecanismos de revisión de aplicaciones de Apple.

#### Contexto del Incidente

Durante los últimos meses, se ha observado un notable incremento en las campañas dirigidas a usuarios de criptomonedas, especialmente mediante ingeniería social y aplicaciones móviles fraudulentas. En este caso, las aplicaciones maliciosas identificadas se hacían pasar por monederos legítimos como Metamask, Coinbase Wallet, Trust Wallet y OneKey, todos con millones de usuarios a nivel mundial. Al presentarse como soluciones oficiales o utilidades complementarias, lograron engañar a un porcentaje significativo de usuarios, especialmente a quienes no verificaron la autenticidad de la aplicación antes de su descarga.

El modelo de negocio de estas amenazas se basa en la obtención de frases semilla —el vector de acceso por excelencia a los fondos de cualquier wallet no custodial—. Una vez obtenidas, los atacantes transfieren los fondos a sus propias cuentas, imposibilitando la recuperación por parte de la víctima.

#### Detalles Técnicos

Las aplicaciones identificadas se distribuyeron en la App Store bajo nombres, logotipos y descripciones que imitaban con precisión los monederos originales. En muchos casos, las apps replicaban interfaces de usuario auténticas, dificultando la detección incluso para usuarios experimentados.

**Vectores de ataque y TTPs (MITRE ATT&CK):**
– **T1056.001 (Input Capture: Keylogging):** Las apps maliciosas solicitaban la introducción de frases semilla o claves privadas bajo el pretexto de restaurar o sincronizar cuentas.
– **T1195 (Supply Chain Compromise):** Aprovechaban la confianza en la cadena de suministro de la App Store para distribuirse.
– **T1078 (Valid Accounts):** Usaban credenciales robadas para acceder a fondos.
– **T1566 (Phishing):** Simulación de interfaces y comunicaciones oficiales para engañar a la víctima.

Los IoCs (Indicadores de Compromiso) relevantes incluyen nombres de paquetes, dominios de backend y direcciones de monederos donde se transferían los fondos robados. No se han publicado exploits automatizados en frameworks como Metasploit, ya que la técnica principal es el robo manual de credenciales, aunque se han observado bots automatizando la transferencia de criptoactivos una vez obtenidas las frases semilla.

En cuanto a versiones, las aplicaciones maliciosas afectaron a dispositivos iOS con versiones de sistema operativo 15.x y superiores, aprovechando la confianza de los usuarios en la tienda oficial de Apple.

#### Impacto y Riesgos

Se estima que cientos de usuarios han sido afectados, con pérdidas que oscilan entre los pocos cientos hasta decenas de miles de euros por usuario. El impacto económico global aún está por determinar, pero las primeras estimaciones sugieren que los fondos robados podrían superar el millón de euros.

El compromiso de frases semilla supone la pérdida total e irreversible de los fondos almacenados en monederos no custodial. Adicionalmente, las víctimas pueden exponerse a ataques posteriores, como spear phishing, si los atacantes reutilizan los datos obtenidos.

Las implicaciones legales, especialmente bajo el RGPD y la inminente directiva NIS2, obligan a los afectados a informar de brechas que impliquen datos personales, lo que podría acarrear sanciones adicionales en caso de incumplimiento.

#### Medidas de Mitigación y Recomendaciones

– **Verificación de aplicaciones:** Comprobar siempre el desarrollador oficial y las reseñas antes de descargar cualquier app relacionada con criptomonedas.
– **Educación y concienciación:** Formación continua a empleados y usuarios sobre los riesgos de suplantación de aplicaciones.
– **Bloqueo de IoCs:** Incorporar los IoCs conocidos en soluciones EDR y sistemas de monitoreo de red.
– **Revisión de políticas de acceso:** Minimizar la exposición de frases semilla y restringir el uso de dispositivos personales para la gestión de criptoactivos corporativos.
– **Actualización de dispositivos:** Mantener actualizados los sistemas operativos y revisar periódicamente las apps instaladas.

#### Opinión de Expertos

Expertos en ciberseguridad y representantes de la comunidad blockchain coinciden en que este incidente expone las limitaciones de los actuales procesos de revisión de la Apple App Store. “La confianza ciega en la tienda oficial no es suficiente. El usuario debe asumir un rol activo en la verificación de la autenticidad de las aplicaciones”, señala un analista de amenazas de una reconocida compañía de ciberseguridad.

#### Implicaciones para Empresas y Usuarios

Las empresas que gestionan criptoactivos se enfrentan a un nuevo desafío: la proliferación de amenazas en canales tradicionalmente considerados seguros. Es imprescindible reforzar los controles de acceso, aplicar soluciones de gestión de dispositivos móviles (MDM) y promover el uso de monederos de hardware para operaciones críticas.

Para los usuarios particulares, la recomendación es clara: nunca introducir frases semilla en aplicaciones no verificadas y, ante la más mínima sospecha, transferir los fondos a un monedero seguro.

#### Conclusiones

El descubrimiento de 26 aplicaciones maliciosas en la Apple App Store destinadas al robo de frases semilla y criptoactivos evidencia que ningún ecosistema está exento de riesgos. La colaboración entre proveedores de tienda de aplicaciones, usuarios y profesionales de ciberseguridad es esencial para reducir la superficie de ataque y proteger los activos digitales en un mercado en constante evolución.

(Fuente: www.bleepingcomputer.com)