Investigadores informaron el pasado viernes que habían descubierto que Google Play alojaba otra aplicación maliciosa, esta vez una que fue diseñada para robar la criptomoneda de usuarios finales involuntarios.

La aplicación “Clipper” reemplazó la dirección de Wallet del usuario con direcciones controladas por desarrolladores.

El malware, que se hizo pasar por una aplicación de criptomoneda legítima, funcionó al reemplazar las direcciones de Wallet copiadas en el portapapeles de Android con una perteneciente a los atacantes, dijo un investigador de Eset en una publicación del blog. Como resultado, las personas que tenían la intención de utilizar la aplicación de su elección para transferir monedas digitales a Wallet, depositarían los fondos en Wallet que perteneciente a los atacantes.

El llamado malware de Clipper se ha dirigido a los usuarios de Windows desde al menos el año 2017.

El año pasado, se actualizó una botnet conocida como Satori para infectar equipos de extracción de monedas con malware que cambiaba de manera similar las direcciones de Wallet. En agosto pasado llegó la noticia del malware Clipper basado en Android que se distribuyó en mercados de terceros.

El malware del Clipper disponible en Google Play suplantó a un servicio llamado MetaMask, que está diseñado para permitir que los navegadores ejecuten aplicaciones que funcionan con el token digital Ethereum. El propósito principal de Android / Clipper.C, como Eset apodó el malware, fue robar las credenciales necesarias para obtener el control de los fondos de Ethereum. También reemplazó las direcciones de Wallet de Bitcoin y Ethereum copiadas en el portapapeles con las que pertenecen a los atacantes.

El investigador de malware de Eset, Lukas Stefanko, escribió:

“Este ataque se dirige a los usuarios que desean usar la versión móvil del servicio MetaMask, que está diseñado para ejecutar aplicaciones descentralizadas de Ethereum en un navegador, sin tener que ejecutar un nodo completo de ETH. Sin embargo, el servicio actualmente no ofrece una aplicación móvil, solo complementos para navegadores de escritorio como Chrome y Firefox.”

Varias aplicaciones maliciosas han sido capturadas anteriormente en Google Play suplantando a MetaMask. Sin embargo, simplemente buscaron información confidencial con el objetivo de acceder a los fondos de criptomoneda de las víctimas.

Eset detectó la aplicación poco después de su introducción a Google Play el 1 de febrero. Desde entonces, Google la ha eliminado.

Stefanko dijo que es la primera vez que el malware Clipper se ha alojado en el bazar de la aplicación Android.

El descubrimiento es aún más evidencia de que no se puede confiar en Google para mantener el malware fuera de juego de forma proactiva. Esto sin duda deja la responsabilidad en los usuarios finales.

Las personas deben limitar la cantidad de aplicaciones que instalan y solo después de haber investigado bastante. Una forma de verificar la legitimidad de una aplicación es visitar de forma independiente el sitio del equipo que supuestamente desarrolló la aplicación. El sitio web oficial de MetaMask no hace mención de una aplicación de Android. Eso debería haber sido una bandera roja que la oferta de Google Play era un impostor.