Alerta en Google Play: Detectan Más de 20 Aplicaciones Falsas de Criptomonedas

Blogging, Ciberseguridad

Una campaña de ciberdelincuencia descubierta por Cyble, firma de inteligencia de amenazas, ha revelado el uso de más de 20 aplicaciones Android falsas distribuidas a través de la Google Play Store, cuyo objetivo es robar las frases clave (mnemonic phrases) de usuarios de criptomonedas. Estas aplicaciones se hacen pasar por monederos legítimos como SushiSwap, PancakeSwap, Hyperliquid y Raydium, imitando sus interfaces para engañar a los usuarios y obtener acceso a sus fondos.

Los atacantes utilizan herramientas como el framework Median, que permite transformar sitios de phishing en aplicaciones funcionales, desplegadas rápidamente en Android. Estas aplicaciones maliciosas cargan directamente sitios web de phishing a través de WebView, una ventana de navegador incrustada, en la que solicitan la frase de recuperación bajo apariencia legítima.

La infraestructura de la campaña es amplia y coordinada. Cyble identificó más de 50 dominios de phishing vinculados entre sí, lo que demuestra una operación organizada. Además, se detectó que muchas apps comparten servidores, estilos de nombres y estructuras similares, lo que sugiere automatización en su desarrollo y publicación.

Algunos dominios maliciosos incluyen:

  • bullxnisbs
  • hyperliqwsbs
  • raydifloydcz
  • sushijamessbs
  • pancakefentfloydcz

Asimismo, se identificaron aplicaciones como:

  • Raydium
  • SushiSwap
  • Suiet Wallet
  • Hyperliquid
  • BullX Crypto
  • Pancake Swap
  • Meteora Exchange
  • OpenOcean Exchange
  • Harvest Finance Blog

Cyble advirtió que, a pesar de las acciones de eliminación, algunas apps siguen activas, y debido a la facilidad de replicación de estas mediante frameworks automatizados, podrían surgir más en poco tiempo. El mayor peligro es que, a diferencia del sistema bancario tradicional, los fondos robados en criptomonedas no pueden recuperarse fácilmente.

Finalmente, la firma ha compartido indicadores de compromiso (IOCs) como nombres de apps, identificadores de paquetes y dominios para ayudar a la comunidad de ciberseguridad a bloquear estas amenazas.

Artículos Relacionados