Una empresa de supervisión de la ciberseguridad ha descubierto que los hackers utilizan activamente aplicaciones de medios de comunicación falsos como Skype o Telegram para organizar estafas de phishing.
Los analistas de SlowMist han descubierto que los hackers chinos han ideado un nuevo tipo de ataque de phishing basado en el deseo de los usuarios locales de eludir las leyes del país y descargar aplicaciones prohibidas.
Así, los estafadores chinos crean aplicaciones falsas de plataformas de medios sociales como Telegram, WhatsApp y Skype, cuyo uso está prohibido por el gobierno chino, y distribuyen malware a través de ellas para robar criptomonedas.
El equipo de SlowMist identificó una nueva forma de atacar a los criptousuarios tras analizar una de estas aplicaciones. Al descompilar la aplicación falsa de Skype se descubrió la presencia de malware en el código, concretamente un framework para Android que permite a los atacantes acceder a los datos personales del usuario. Esto ocurre después de que el usuario da permiso para acceder a archivos internos e imágenes, lo que suelen solicitar las aplicaciones de medios de comunicación.
Tras obtener acceso a los archivos internos, el malware encuentra imágenes o mensajes con direcciones de monederos de criptomonedas y los sustituye automáticamente por direcciones fraudulentas. Así, el usuario desprevenido envía criptomonedas a los ciberdelincuentes.
Los analistas de SlowMist descubrieron que sólo a través de una de estas aplicaciones falsas de Skype los atacantes consiguieron robar más de 200 mil dólares a los usuarios. 120 usuarios que descargaron la aplicación de phishing fueron víctimas de la estafa.
Durante el análisis, el equipo de SlowMist descubrió cómo identificar las aplicaciones falsas:
- la versión de la aplicación falsa a menudo no coincide con la última versión oficial;
- los estafadores suelen utilizar el mismo dominio de phishing, que puede cambiar de apariencia varias veces en una semana;
- la aplicación falsa suele ser pesada.
Los hackers utilizan activamente sitios basados en WordPress para difundir malware, y para engañar a los usuarios, los estafadores organizan sorteos gratuitos de criptomonedas en X (ex Twitter).