Cuando las personas escuchan la palabra phishing, lo primero que les viene a la mente son correos electrónicos o sitios web. Un desafío que tenemos en el espacio criptográfico es que los atacantes encuentran constantemente nuevos métodos para robar fondos de los usuarios. La semana pasada, descubrimos un ataque coordinado a gran escala contra varios DEX de alto perfil. Esta publicación profundiza en nuestro análisis técnico y cómo logramos unir los diferentes ataques.

En profundidad

El equipo de IDEX publicó recientemente un tweet sobre una aplicación IDEX falsa en la tienda Google Play. La aplicación se hacía pasar por la marca IDEX en un intento de engañar a los usuarios para que la descarguen e instalen, y luego suplantan las credenciales del usuario para robar sus fondos.


A continuación, arrojamos algo de luz sobre el funcionamiento interno de esta aplicación móvil y cómo, a través de la ingeniería inversa de la aplicación, descubrimos un ataque coordinado a gran escala lanzado por lo que parece ser un solo actor.


Desglose de la aplicación

La aplicación maliciosa de la tienda Google Play se disfrazó como una aplicación móvil IDEX, usando el logotipo de IDEX, su nombre en varios lugares, así como capturas de pantalla de la versión móvil de su sitio web.


Después de descargar y descompilar la aplicación, descubrimos que estaba usando Cordova, un marco de desarrollo de aplicaciones móviles que permite a los desarrolladores escribir aplicaciones móviles en HTML y JavaScript. Esto significaba que la aplicación podía cargar la versión móvil del sitio web IDEX en un WebView, lo que resultó en un ataque de bajo costo que podría usarse fácilmente para apuntar a otros intercambios o billeteras con un sitio web compatible con dispositivos móviles.

La búsqueda de referencias a IDEX se confirmó aún más este punto, ya que casi ninguna se hizo en el código base.



Esto indicó que la mayor parte de la lógica se estaba cargando dinámicamente, en lugar de desde archivos locales dentro de la aplicación. Como resultado, el siguiente paso natural fue interceptar las comunicaciones de la aplicación, para comprender mejor lo que estaba sucediendo detrás de escena.

Al abrir la aplicación, al usuario se le presentó la pantalla de inicio de sesión familiar de IDEX, donde el usuario tenía que elegir cómo deseaba iniciar sesión.



Luego siguió el flujo de autenticación estándar, solicitando los datos privados del usuario.


Después de hacer clic en "Desbloquear", los datos se enviaron a softwareapi [.] Tk a través de un canal de texto sin cifrar, exponiendo los datos confidenciales del usuario no solo al atacante, sino a cualquier otro intermediario en el camino.


En esa etapa, el usuario estaba autenticado y podía usar la aplicación como de costumbre, y el atacante tendría toda la información necesaria para robar los fondos del usuario.

Espera, ¿por qué todo este código?

Curiosamente, aunque la lógica de la aplicación IDEX se implementó a través de WebViews cargando contenido remoto, todavía había algo de código HTML y JavaScript personalizado dentro de la aplicación. La apertura de index.html reveló el nombre de otro DEX popular en el espacio, EtherFlyer.


La verificación de otras referencias del nombre reveló que estaba presente en varios lugares.


Sin embargo, esta funcionalidad no se estaba mostrando al usuario en ningún momento, por lo que nos dirigimos a Google, y he aquí:


Para cuando encontramos este artículo, la aplicación maliciosa EtherFlyer ya no estaba disponible en la App Store, por lo que no pudimos confirmar si se estaba utilizando la misma base de código para apuntar a ambos intercambios. Sin embargo, ciertamente parecería ser el caso según las pruebas reunidas.


La trama se complica

Mientras realizábamos este análisis, un miembro de la comunidad nos informó sobre otra aplicación de phishing dirigida a Binance DEX.


Ahora, aquellos con buen ojo habrán notado que hay algunas similitudes entre la lista de la aplicación Binance y la aplicación IDEX. Ambas aplicaciones usan un formato de título de "Para Android" y el desarrollador es "Dev INC". Ambos también tenían la misma estructura de nombres, "com..bridge". Esto instantáneamente llamó nuestra atención.


Después de descargar y descompilar la aplicación, apareció algo bastante interesante.


Es así. Esa es la captura de pantalla correcta. La aplicación Binance tenía restos de un phishing IDEX. Al observar el comportamiento de la aplicación Binance, se siguió el mismo proceso que la aplicación IDEX, solo que esta vez los datos se publicaron en dexapi [.] Tk. Al iniciar sesión, se llamó al punto final /Api.php (muy parecido a la aplicación IDEX), y el parámetro de datos se descodificó en la frase mnemotécnica y la contraseña que se usa para iniciar sesión en la aplicación.


Las tres aplicaciones fueron claramente lanzadas por la misma iniciativa, y la similitud entre ellas fue que el objetivo en todos los casos fueron DEXs. Es muy probable que esta campaña continúe apuntando a otros DEX, ya que el costo de duplicar el ataque es relativamente bajo para el atacante.


Conclusiones

  • La suplantación de identidad no se limita a sitios web o correos electrónicos.
  • Las aplicaciones móviles de phishing probablemente ganarán popularidad entre los atacantes, ya que se dan cuenta de que los ataques requieren un mínimo de recursos y capacidad para ejecutarse.
  • Los intercambios descentralizados son objetivos de gran valor para los atacantes. Sin sus claves, no es su crypto significa que cuando los usuarios son responsables de sus propias claves, también son responsables de proteger sus fondos y necesitan estar especialmente atentos.
  • Los adversarios realizan ataques bien coordinados contra múltiples objetivos simultáneamente.
  • Las empresas de criptomonedas deben asegurarse de contar con una estrategia adecuada de detección y respuesta para proteger a sus usuarios de las aplicaciones móviles de phishing.

Consultas? Comuníquese en Twitter o Telegram. Suscríbase a nuestra fuente RSS para recibir nuestras últimas actualizaciones.

No se pierda Nuestras Historias