Descubiertas: 280 aplicaciones de Android que usan OCR para robar credenciales de criptomonedas
 September 6, 2024
      No Comments
      admin


Descubiertas: 280 aplicaciones de Android que usan OCR para robar credenciales de criptomonedas

Imágenes Getty

Los investigadores han descubierto más de 280 aplicaciones maliciosas para Android que utilizan el reconocimiento óptico de caracteres para robar credenciales de billeteras de criptomonedas de dispositivos infectados.

Las aplicaciones se hacen pasar por aplicaciones oficiales de bancos, servicios gubernamentales, servicios de transmisión de TV y servicios públicos. De hecho, rastrean los teléfonos infectados en busca de mensajes de texto, contactos y todas las imágenes almacenadas y los envían subrepticiamente a servidores remotos controlados por los desarrolladores de la aplicación. Las aplicaciones están disponibles en sitios maliciosos y se distribuyen en mensajes de phishing enviados a las víctimas. No hay ninguna indicación de que alguna de las aplicaciones estuviera disponible a través de Google Play.

Un alto nivel de sofisticación

Lo más destacable de la campaña de malware recién descubierta es que los actores de la amenaza que la respaldan están empleando un software de reconocimiento óptico de caracteres en un intento de extraer las credenciales de las billeteras de criptomonedas que se muestran en imágenes almacenadas en los dispositivos infectados. Muchas billeteras permiten a los usuarios proteger sus billeteras con una serie de palabras aleatorias. Las credenciales mnemotécnicas son más fáciles de recordar para la mayoría de las personas que el revoltijo de caracteres que aparecen en la clave privada. Las palabras también son más fáciles de reconocer para los humanos en imágenes.

SangRyol Ryu, investigador de la empresa de seguridad McAfee, hizo el descubrimiento tras obtener acceso no autorizado a los servidores que recibieron los datos robados por las aplicaciones maliciosas. Ese acceso fue el resultado de configuraciones de seguridad débiles realizadas cuando se implementaron los servidores. Con eso, Ryu pudo leer páginas disponibles para los administradores de servidores.

Una página, que se muestra en la imagen de abajo, fue de particular interés. Mostraba una lista de palabras cerca de la parte superior y una imagen correspondiente, tomada de un teléfono infectado, debajo. Las palabras representadas visualmente en la imagen correspondían a las mismas palabras.

Una página de administración que muestra detalles de OCR.<br />” src=”https://cdn.arstechnica.net/wp-content/uploads/2024/09/c2-server-page-640×706.png” width=”640″ height=”706″ srcset=”https://cdn.arstechnica.net/wp-content/uploads/2024/09/c2-server-page.png 2x”/><figcaption class=
Agrandar / Una página de administración que muestra detalles de OCR.

McAfee

“Al examinar la página, quedó claro que uno de los objetivos principales de los atacantes era obtener las frases mnemotécnicas de recuperación para las billeteras de criptomonedas”, escribió Ryu. “Esto sugiere un gran énfasis en obtener acceso y posiblemente agotar los activos criptográficos de las víctimas”.

El reconocimiento óptico de caracteres es el proceso de convertir imágenes de texto escrito a mano, mecanografiado o impreso en texto codificado por máquina. El OCR existe desde hace años y se ha vuelto cada vez más común transformar caracteres capturados en imágenes en caracteres que se puedan leer y manipular mediante software.

Ryu continuó:

Esta amenaza utiliza Python y Javascript en el lado del servidor para procesar los datos robados. En concreto, las imágenes se convierten en texto mediante técnicas de reconocimiento óptico de caracteres (OCR), que luego se organizan y gestionan a través de un panel administrativo. Este proceso sugiere un alto nivel de sofisticación en el manejo y uso de la información robada.

Código Python para convertir el texto que se muestra en imágenes en texto legible por máquina.
Agrandar / Código Python para convertir el texto que se muestra en imágenes en texto legible por máquina.

McAfee

Las personas que estén preocupadas por la posibilidad de haber instalado una de las aplicaciones maliciosas deberían consultar la publicación de McAfee para obtener una lista de sitios web asociados y hashes criptográficos.

El malware ha recibido varias actualizaciones a lo largo del tiempo. Si bien antes utilizaba HTTP para comunicarse con los servidores de control, ahora se conecta a través de WebSockets, un mecanismo que es más difícil de analizar para el software de seguridad. Los WebSockets tienen el beneficio adicional de ser un canal más versátil.

Una línea de tiempo de la evolución de las aplicaciones.
Agrandar / Una línea de tiempo de la evolución de las aplicaciones.

McAfee

Los desarrolladores también han actualizado las aplicaciones para ocultar mejor su funcionalidad maliciosa. Los métodos de ocultación incluyen la codificación de las cadenas dentro del código para que no sean fáciles de leer para los humanos, la adición de código irrelevante y el cambio de nombre de funciones y variables, todo lo cual confunde a los analistas y dificulta la detección. Si bien el malware se limita principalmente a Corea del Sur, recientemente ha comenzado a propagarse dentro del Reino Unido.

“Este avance es significativo porque demuestra que los actores de amenazas están expandiendo su foco tanto demográfica como geográficamente”, escribió Ryu. “El traslado al Reino Unido apunta a un intento deliberado por parte de los atacantes de ampliar sus operaciones, probablemente apuntando a nuevos grupos de usuarios con versiones localizadas del malware”.