La creciente popularidad de las criptomonedas, además de atraer cantidades masivas de potenciales usuarios, trae consigo fraudes que tienen como objetivo obtener algún redito de estas monedas virtuales a costa de otros usuarios.
ESET, compañía líder en detección proactiva de amenazas, advierte que las estafas con criptomonedas no son exclusivas de las PC´s. Actualmente se dan también en la plataforma Android, utilizando aplicaciones falsas relacionadas a las criptomonedas.
La empresa advierte que el intercambio de criptomonedas a través de dispositivos móviles representa un blanco atractivo para las estafas, porque son muy pocos los que ofrecen una aplicación para smartphones.
La mayoría de las veces estas aplicaciones falsas roban las credenciales de acceso haciéndose pasar por una app que sirva para hacer transacciones. Posteriormente, los atacantes utilizan estas credenciales robadas para apoderarse de las cuentas reales. Para tentar a los usuarios y que se animen a compartir sus contraseñas, los estafadores simulan ser el servicio legítimo, imitando el nombre del desarrollador, icono de la aplicación y hasta la interfaz de usuario.
En el 2017 se descubrió una falsa aplicación para el intercambio de criptomonedas de Poloniex en Google Play, pero el problema es que cada tanto vuelve a aparecer.
Existen otros casos que afectan también a los usuarios de monederos de criptomonedas, donde los atacantes, en lugar de las contraseñas, buscan obtener las claves y frases privadas de acceso a los monederos. Esto representa un gran riesgo para el usuario ya que el robo de la contraseña de una aplicación para el intercambio de criptomonedas puede ser reseteada con la clave privada del usuario y la ayuda del proveedor del servicio, pero en el caso de un monedero, si la clave privada del usuario es lo que se ve comprometida nadie puede brindar ayuda en este punto.
Este último caso se observó en aplicaciones que intentan suplantar la identidad de la aplicación MyEtherWallet, un popular monedero de criptomonedas de código abierto para Etherum. Las aplicaciones, subidas a Google Play en varias ocasiones en los últimos meses, amenazan con robar las claves privadas de los usuarios y/o las frases mnemotécnicas utilizando varios formularios de login falsos. Tanto Poloniex como MyEtherWallet no cuentan con una aplicación oficial, lo que los hace atractivos para los estafadores.
El Laboratorio de Investigación de ESET Latinoamérica recomienda seguir estas recomendaciones para evitar ser víctima de estafas con criptomonedas en Android:
• Tratar el intercambio de criptomonedas y monederos con el mismo grado de precaución que se utiliza una aplicación bancaria.
• Cuando se descargue una aplicación para el intercambio o almacenamiento de criptomonedas, asegurarse de que el servicio realmente ofrezca una aplicación. La app oficial debería aparecer enlazada en la página oficial de quien ofrece el servicio.
• Si la opción está disponible, utilizar autenticación de dos factores (A2F) para proteger la cuenta de intercambio o monedero con una capa adicional de seguridad.
• Al descargar aplicaciones de Google Play, prestar atención al número de descargas, así como también a las calificaciones y los comentarios.
• Mantener los dispositivos Android actualizados y utilizar una solución de seguridad de confianza para protegerse de las últimas amenazas.
H/T – Informe21