Detectaron en Snap Store wallets que se hacían pasar por las apps oficiales
Se dio a conocer hace poco la noticia de que en el directorio de aplicaciones Snap Store (utilizado en Ubuntu y mantenido por Canonical), se identificaron 10 aplicaciones que fueron diseñadas como clientes oficiales para carteras de criptomonedas populares, pero que en realidad no estaban relacionadas con los desarrolladores de estos proyectos y realizaban acciones maliciosas.
Se menciona, lo preocupante es que estas aplicaciones estaban etiquetadas como «Seguras» en el catálogo, lo que generaba la impresión de que habían sido verificadas y eran seguras para su uso.
Estas aplicaciones fueron publicadas por el usuario digisafe00000 y se presentaban con nombres similares a las aplicaciones genuinas de criptomonedas. Aunque inicialmente fueron eliminadas del catálogo de la Snap Store, rápidamente reaparecieron bajo un nuevo usuario llamado codeguard0x0000, con nombres de paquetes levemente modificados, como «exodus-build-71776» y «metamask-estable28798».
Este problema no es nuevo ya que en febrero se observó una actividad similar, lo que resultó en el robo de aproximadamente 9 bitcoins (alrededor de $500 mil) de un usuario que instaló un cliente falso de Exodus. Debido a que los autores de estas aplicaciones maliciosas logran evadir el sistema automático de verificación de paquetes de la Snap Store, algunos expertos sugieren prohibir por completo la publicación de aplicaciones no verificadas relacionadas con criptomonedas en esta plataforma, siguiendo el ejemplo de las restricciones que se implementarán en 2022 para las aplicaciones de este tipo. Cabe mencionar que estas aplicaciones prohibidas estaban vinculadas a proyectos en la plataforma de desarrollo colaborativo SourceHut.
Sobre el incidente, se abrieron algunos hilos en el foro de Snapcraft:
Hemos visto una avalancha de cargas de aplicaciones que engañan a los usuarios para que revelen información confidencial. Estos no atacan la ingeniería del sistema, sino que atacan al usuario a través de la ingeniería social, por lo que las reglas de confinamiento no pueden abordar el problema.
El equipo está trabajando en una variedad de iniciativas para mitigar y reducir el riesgo de aplicaciones como esta. Sin embargo, lo que me preocupa es que las aplicaciones puedan actualizarse, por lo que incluso si una aplicación se revisa exhaustivamente en el momento de su publicación inicial, la misma aplicación podría volverse fraudulenta en una fecha posterior.
Una cosa que podríamos hacer es exigir una prueba más completa de la identidad del editor para cada editor. Podríamos requerir una tarjeta de crédito y podríamos integrar el tipo de tecnología de «conozca a su cliente» que los bancos basados en aplicaciones están utilizando para verificar algún tipo de identificación, como un pasaporte. Normalmente, estos requieren algo así como una fotografía del pasaporte junto con un vídeo de la persona que habla. Creo que la mayoría de los bancos utilizan servicios SAAS para esta capacidad KYC y nosotros podríamos utilizar los mismos servicios para la verificación de identidad del editor de Snapcraft.
Las aplicaciones son dummies que muestran páginas web de un sitio externo utilizando un contenedor basado en WebKit GTK que simula el funcionamiento de una aplicación de escritorio normal (el incidente de febrero involucró aplicaciones ficticias escritas en Flutter). De las funciones, solo funciona la operación de importar claves y restaurar una billetera, y los intentos de crear una nueva billetera terminan con un error.
Como tal, se menciona que el javascript es bastante simple, ya que tiene un diccionario de palabras permitidas en una clave de recuperación ya que a medida que el usuario escribe palabras, la aplicación comprueba la lista y si todas las palabras ingresadas están en el diccionario, permitirá el uso del botón «Continuar» para enviar una solicitud «POST» a un /collect punto final en el servidor. También periódicamente hace «ping» en el servidor con una simple carga útil para verificar la conectividad de la red, telemetría o ver cuáles de las aplicaciones de billetera fraudulentas están en uso.
Si el usuario realiza una operación de importación de una billetera existente, la frase clave de recuperación asociada a ella se envía al servidor de los atacantes y se muestra al usuario un mensaje sobre el error de recuperación de la billetera. Una vez obtenido el acceso a las claves, los atacantes retiran todos los fondos de la billetera de la víctima.
Si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.