Un actor de amenazas técnicamente sofisticado conocido como SeaFlower ha estado atacando a los usuarios de Android e iOS como parte de una extensa campaña que imita los sitios web oficiales de monederos de criptomonedas con la intención de distribuir aplicaciones falsificadas que drenan los fondos de las víctimas.
Descubierto por primera vez en marzo de 2022, el grupo de actividad “insinúa una fuerte relación con una entidad de habla china aún por descubrir”, basándose en los nombres de usuario de macOS, los comentarios del código fuente en el código de la puerta trasera y su abuso de la Red de Entrega de Contenido (CDN) de Alibaba.
Las aplicaciones atacadas incluyen las versiones para Android e iOS de Coinbase Wallet, MetaMask, TokenPocket e imToken.
El modus operandi de SeaFlower consiste en crear sitios web clonados que actúan como conducto para descargar versiones troyanizadas de las aplicaciones de monederos que prácticamente no cambian con respecto a sus homólogas originales, salvo por la adición de un nuevo código diseñado para extraer la frase de semilla a un dominio remoto.
La actividad maliciosa también está diseñada para dirigirse a los usuarios de iOS mediante perfiles de aprovisionamiento que permiten la carga lateral de las aplicaciones en los dispositivos.
En cuanto a la forma en que los usuarios se encuentran con estos sitios web que ofrecen carteras fraudulentas, el ataque aprovecha las técnicas de envenenamiento de SEO en los motores de búsqueda chinos como Baidu y Sogou para que las búsquedas de términos como “descargar MetaMask iOS” sean manipuladas para que aparezcan las páginas de descargas no autorizadas en la parte superior de la página de resultados de búsqueda.
En todo caso, la revelación pone de manifiesto una vez más cómo los actores de las amenazas están poniendo cada vez más sus ojos en las plataformas Web3 populares en un intento de saquear datos sensibles y transferir engañosamente fondos virtuales.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian