Cuando hablamos de criptomonedas a todos se nos viene a la cabeza el gran auge que han tenido en los últimos meses. Ha pasado de ser un tema prácticamente limitado a Bitcoin, a surgir muchas nuevas criptodivisas. Esto ha invitado a muchos usuarios a invertir y especular con su valor. Del mismo modo han surgido muchas amenazas relacionadas con este tema. Los ciberdelincuentes no han estado ajenos a esto. Especialmente el malware que mina de forma oculta Monero, ya se ha convertido en una auténtica epidemia.
La minería de Monero aumenta
La cantidad de incidentes relacionados con la minería oculta de Monero ha aumentado cada semana. En los últimos días han surgido tres nuevos ataques. Esto lo convierte en una importante amenaza para los usuarios.
Como sabemos, al minar criptomonedas estamos exponiendo nuestro equipo a posibles problemas. Utilizamos la potencia de nuestros sistemas de una manera inusual y puede ralentizarlos, pero también acortar su vida útil.
La cantidad de campañas de malware que propagan las amenazas de minero de Monero ha crecido exponencialmente a medida que el precio de la criptomoneda ha subido.
Durante 2017 vimos multitud de campañas de este tipo que afectaron a muchos sitios web. Sin embargo en 2018, el poco tiempo que llevamos, esto ha aumentado todavía más. 2018 está preparado para ser el año del malware de las criptomonedas. Especialmente irá en aumento si así lo hace el valor de estas monedas digitales.
Casos importantes
Probablemente el más curioso de todos es el caso de un grupo criminal que infecta ordenadores con Windows que ejecutan una versión vulnerable del Cleverence Mobile SMARTS Server.
Este es un paquete de software ruso que se puede utilizar para automatizar diversos equipos industriales en tiendas, almacenes y diversas instalaciones de producción. El cliente funciona con equipos industriales y el servidor se ejecuta en un equipo central con Windows.
Los investigadores de Dr.Web dicen que descubrieron recientemente que los delincuentes usaban un día cero en el servidor Cleverence Mobile SMARTS para crear una cuenta de administrador en los equipos que ejecutan estos servidores.
Posteriormente se conectaría a estos ordenadores a través de un escritorio remoto e instalaría un minero de Monero en forma de un archivo DLL malicioso. El malware llamó la atención de Dr.Web porque se configuró para cerrar los procesos de varios productos antivirus antes de comenzar las operaciones de minería.
Los servidores como objetivo
Otra campaña, descubierta la semana pasada por Trend Micro, también apunta a los servidores utilizados por las empresas.
Ésta utiliza CVE-2017-5638 (una vulnerabilidad en Apache Struts) y CVE-2017-9822 (una vulnerabilidad en DotNetNuke) para instalar otro minero de Monero en servidores corporativos con software desactualizado.
La última, pero no menos importante, es una campaña descubierta por Palo Alto Networks. Esta campaña se dirige a los usuarios habituales en lugar de a las empresas. Los expertos dicen que los ladrones están cargando archivos EXE modificados para incluir el software Monero-mining en sitios de intercambio de archivos conocidos.
Los estafadores están enviando spam a los usuarios habituales con enlaces a estos archivos. Su objetivo es que algunos sean lo suficientemente descuidados como para descargar y ejecutar los EXE maliciosos.
Cientos de falsas aplicaciones de Bitcoin afectan a Apple y Android
La empresa de gestión de amenazas RiskIQ ha descubierto que los piratas informáticos se dirigen a Apple, Google Play, SameAPK, APKPlz y otros usuarios de la tienda de programas con aplicaciones maliciosas de criptomonedas con el objetivo de robar dinero y datos personales.
En el análisis de 18.408 aplicaciones en 20 tiendas de aplicaciones, los investigadores de la firma descubrieron en total más de 600 aplicaciones de Bitcoin en la lista negra. Al monitorear 10 de los populares exchanges de Bitcoin en el título de la aplicación, RiskIQ encontró 661 aplicaciones en la lista negra de proveedores oficiales de seguridad cibernética, pero todavía están disponibles para su descarga por parte de los usuarios.
Estos datos son más que significativos. Suponen que casi el 3% de todas las aplicaciones que se publicitan como exchanges de Bitcoin, han sido incluidas en la lista negra. Además, también hay que añadir que el 2,6% de las que se nombran como Bitcoin Wallet corren la misma suerte. Por otra parte, las aplicaciones que incluyen la palabra “criptomoneda” representan el 2,2% en la lista negra.
Engañar a las víctimas
El objetivo de los ciberdelincuentes es hacer creer a las víctimas que están ante una aplicación legítima. Con esto logran obtener datos personales y dinero. Pueden llegar a ser grandes cifras económicas, ya que hablamos de criptomonedas, donde muchos usuarios invierten grandes cantidades.
Según informa Fabian Libeau, el vicepresidente de RiskIQ, estamos ante algo que afecta a todo el mundo. Es un problema globalizado y usuarios de todos los países pueden ser víctimas de estas estafas.
El uso de los teléfonos móviles para realizar transacciones ha aumentado considerablemente. Por ello debemos de extremar las precauciones a la hora de instalar programas relacionados con cuentas bancarias, exchanges de criptomonedas y similares. Es ahí donde los ciberdelincuentes están poniendo sus miras.
Estas aplicaciones de Android han tenido acceso a tu correo
Android no es un sistema operativo seguro. Así lo acaban de descubrir los investigadores de Adguard, que han escaneado las 1.000 aplicaciones más descargadas de Google Play en Android. Muchas de ellas cuentan con la certificación de "Selección de los editores", aunque en algunos casos tienen un objetivo principal: violar la seguridad y privacidad de los usuarios robando -e incluso leyendo- su correo electrónico y otros datos.
El número de teléfono, la dirección de email e incluso el IMEI son algunos de los datos que estas peligrosas aplicaciones para Android te pueden estar robando, y todo ello sin tu consentimiento y sin haber solicitado permisos para hacerlo. Lo más preocupante es que en algunos casos los comparten con terceras compañías a través de HTTP, un protocolo muy inseguro que ya ni siquiera Google quiere.
Las implicaciones de este estudio para la confianza en la seguridad de Android son devastadoras, pues prueba que hay que desconfiar de prácticamente la totalidad de las apps de Google Play. Si esto ocurre en las 1.000 más descargadas, mejor no pensar en lo que pasa en el resto o qué puede hacer un APK malicioso descargado de Internet.
Qué hacen y cuáles son estas aplicaciones maliciosas
Entre estas 1.000, Adguard desglosa en su informe las actividades de algunas de ellas:
- 494 tienen tu número de teléfono y tu registro de llamadas
- 213 pueden acceder a tu dirección de correo electrónico
- 208 leen tus contactos
- 88 leen tus mensajes de texto
Entre todas suman la cantidad de 350 millones de descargas, así que es muy probable que tengas instalada una de ellas, o incluso más de una. Adguard comparte una lista de algunos casos particularmente sangrantes, aunque no son todos:
- BookMyShow: tiene acceso a tu dirección de email y la comparte con terceros
- GO SMS Pro, Cámara Z y S Photo Editor: comparten con terceros tu correo, tu número de teléfono y otros datos
- Turbo VPN y VPN Master-Free: comparten tu correo, teléfono e IMEI con terceros
- MiCalendario Free: lee tu dirección de correo
Qué puedes hacer para protegerte
En este campo de batalla en el que se ha convertido la privacidad en Android, el usuario está prácticamente indefenso. Si Google Play da luz verde a una aplicación que recopila información personal del usuario, poco puede hacer éste más allá de desinstalar la app cuando se percata de qué está ocurriendo.
No obstante, es difícil que lo haga si hasta la tienda de aplicaciones oficial nombra una app maliciosa como "Selección de los editores", un imperdonable error. Como señalan los investigadores, una de las pocas medidas de seguridad viables es no conceder permisos innecesarios. Si una aplicación de calendario te pide acceso a la cámara, no se lo des.
