{"id":15873,"date":"2023-03-23T22:45:47","date_gmt":"2023-03-24T02:45:47","guid":{"rendered":"https:\/\/www.notaoficial.com\/s\/?p=15873"},"modified":"2023-03-23T22:45:47","modified_gmt":"2023-03-24T02:45:47","slug":"aplicaciones-de-whatsapp-y-telegram-troyanizadas","status":"publish","type":"post","link":"https:\/\/www.notaoficial.com\/s\/2023\/03\/23\/aplicaciones-de-whatsapp-y-telegram-troyanizadas\/","title":{"rendered":"Aplicaciones de WhatsApp y Telegram troyanizadas"},"content":{"rendered":"

Por Flavio Borquez Tarff<\/p>\n

El equipo de investigaci\u00f3n de ESET<\/a>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas descubri\u00f3 docenas de sitios web que se hac\u00edan pasar por Telegram y WhatsApp apuntando principalmente a usuarios de Android y Windows con versiones troyanizadas de estas aplicaciones de mensajer\u00eda instant\u00e1nea.<\/p>\n

La mayor\u00eda de las aplicaciones maliciosas identificadas son clippers, un tipo de malware que roba o modifica el contenido almacenado en el portapapeles (en ingl\u00e9s\u00a0clipboard<\/i>). Todos estos clippers buscan robar los fondos de las v\u00edctimas, y varios apuntan a las billeteras de criptomonedas. Esta es la primera vez que desde ESET se observa el uso de clippers para Android disfrazados como apps de mensajer\u00eda instant\u00e1nea. Adem\u00e1s, algunas de estas aplicaciones utilizan el reconocimiento \u00f3ptico de caracteres (OCR) para reconocer el texto de las capturas de pantalla almacenadas en los dispositivos comprometidos, otra novedad para el malware de Android.<\/p>\n

\u201cNo solo se identificaron los primeros clippers en apps de mensajer\u00eda instant\u00e1nea, sino que se descubri\u00f3 varios grupos de ellos. El prop\u00f3sito principal de los clippers descubiertos es interceptar las comunicaciones en las apps de mensajer\u00eda que utiliza la v\u00edctima y reemplazar cualquier direcci\u00f3n de billetera de criptomonedas enviada y recibida con direcciones que pertenecen a los atacantes. Adem\u00e1s de las versiones troyanizadas de las aplicaciones de WhatsApp y Telegram para Android, tambi\u00e9n se encontraron de las mismas apps para Windows\u201d, coment\u00f3 Camilo Guti\u00e9rrez Amaya, Jefe del Laboratorio de Investigaci\u00f3n de ESET Latinoam\u00e9rica.\u00a0<\/i><\/p>\n

Por Flavio Borquez Tarff<\/p>\n

\u00bfQu\u00e9 es un clipper y por qu\u00e9 los ciberdelincuentes lo utilizan? Es una pieza de c\u00f3digo malicioso que copia o modifica el contenido en el portapapeles de un sistema. Los clippers son atractivos para los ciberdelincuentes interesados \u200b\u200ben robar criptomonedas porque las direcciones de las billeteras de criptomonedas en l\u00ednea est\u00e1n compuestas de largas cadenas de caracteres y, en lugar de escribirlas, los usuarios tienden a copiar y pegar las direcciones usando el portapapeles. Un clipper puede aprovechar esto interceptando el contenido del portapapeles y reemplazando cualquier direcci\u00f3n de billetera de criptomonedas copiada con una a la que los atacantes tienen bajo su control.<\/p>\n

Seg\u00fan ESET, los operadores detr\u00e1s de estas amenazas primero configuraron anuncios de Google que conducen a canales de YouTube fraudulentos, que luego redirigen a los desafortunados espectadores a imitar los sitios web de Telegram y WhatsApp. Adem\u00e1s de eso, un grupo en particular de Telegram tambi\u00e9n anunci\u00f3 una versi\u00f3n maliciosa de la aplicaci\u00f3n que afirmaba tener un servicio proxy gratuito fuera de China. Cuando ESET descubri\u00f3 estos anuncios fraudulentos y los canales de YouTube relacionados, los inform\u00f3 a Google, que los cerr\u00f3 todos de inmediato.<\/p>\n

En cuanto a la distribuci\u00f3n, seg\u00fan el idioma utilizado en las aplicaciones que se presentan como copias, parece que los operadores detr\u00e1s de ellas se dirigen principalmente a usuarios de habla china. Debido a que tanto Telegram como WhatsApp est\u00e1n bloqueados en China desde hace varios a\u00f1os, con Telegram bloqueado desde\u00a02015<\/a>\u00a0\u00a0y WhatsApp desde\u00a02017<\/a>, las personas que desean utilizar estos servicios tienen que recurrir a medios alternativos para obtenerlos.<\/p>\n

\u201cA primera vista, puede parecer compleja la forma en que se distribuyen estas aplicaciones que se hacen pasar por leg\u00edtimas. Sin embargo, es posible que con Telegram, WhatsApp y la aplicaci\u00f3n Google Play bloqueadas en China, los usuarios de Android est\u00e9n acostumbrados a pasar por varios obst\u00e1culos si quieren obtener aplicaciones que no est\u00e1n disponibles oficialmente. Los ciberdelincuentes son conscientes de esto y tratan de atrapar a sus v\u00edctimas desde el primer momento, cuando la v\u00edctima busca en Google una aplicaci\u00f3n de WhatsApp o Telegram para descargar.\u201d, agrega Guti\u00e9rrez Amaya de ESET.\u00a0<\/i><\/p>\n

Por Flavio Borquez Tarff<\/p>\n

Los atacantes compraron Google Ads que redirigen a YouTube, lo que ayuda a los atacantes a llegar a la parte superior de los resultados de b\u00fasqueda y tambi\u00e9n evita que los sitios web falsos que utilizan sean marcados como estafas, ya que los anuncios se vinculan a un servicio leg\u00edtimo que Google Ads presumiblemente lo considera confiable.<\/p>\n

Los enlaces a los sitios web copia generalmente se pueden encontrar en la secci\u00f3n \u201cAcerca de\u201d de los canales de YouTube. Un ejemplo de tal descripci\u00f3n se puede ver en una traducci\u00f3n muy aproximada en la Figura 4.<\/p>\n

Durante la investigaci\u00f3n, ESET encontr\u00f3 cientos de canales de YouTube que apuntan a docenas de sitios web falsos de Telegram y WhatsApp. Estos sitios se hacen pasar por servicios leg\u00edtimos y ofrecen versiones de escritorio y m\u00f3viles de la aplicaci\u00f3n para descargar. Ninguna de las aplicaciones analizadas estaba disponible en la tienda Google Play.<\/p>\n

El objetivo principal de las aplicaciones para Android troyanizadas es interceptar los mensajes de chat de las v\u00edctimas y cambiar cualquier direcci\u00f3n de billetera de criptomonedas por otras pertenecientes a los atacantes, o filtrar informaci\u00f3n confidencial que permitir\u00eda a los atacantes robar los fondos de criptomonedas de las v\u00edctimas. Esta es la primera vez que ESET identifica clippers que apuntan espec\u00edficamente a apps de mensajer\u00eda instant\u00e1nea.<\/p>\n

Desde ESET observaron que al reemplazar las direcciones de las billeteras las aplicaciones troyanizadas para Telegram se comportan de manera diferente a las de WhatsApp. Una v\u00edctima que use la versi\u00f3n maliciosa de la aplicaci\u00f3n de Telegram seguir\u00e1 viendo la direcci\u00f3n original hasta que se reinicie la aplicaci\u00f3n, despu\u00e9s de lo cual la direcci\u00f3n mostrada ser\u00e1 la que pertenece al atacante. Por el contrario, la propia direcci\u00f3n de la v\u00edctima se ver\u00e1 en los mensajes enviados si utiliza una versi\u00f3n troyanizada de WhatsApp, mientras que el destinatario del mensaje recibir\u00e1 la direcci\u00f3n del atacante.<\/p>\n

Por Flavio Borquez Tarff<\/p>\n

ESET acerca consejos de prevenci\u00f3n y desinstalaci\u00f3n para Android:<\/b><\/p>\n

    \n
  1. Instalar aplicaciones solo de fuentes confiables, como la tienda Google Play.<\/li>\n
  2. Si se est\u00e1 compartiendo direcciones de billeteras de criptomonedas a trav\u00e9s de la aplicaci\u00f3n para Android de Telegram, verificar dos veces si la direcci\u00f3n que se envi\u00f3 coincide con la direcci\u00f3n que se muestra despu\u00e9s de reiniciar la aplicaci\u00f3n. De lo contrario, advertir al destinatario que no utilice la direcci\u00f3n e intentar eliminar el mensaje. Desafortunadamente, esta t\u00e9cnica no se puede aplicar a la versi\u00f3n troyanizada de WhatsApp para Android.<\/li>\n
  3. Tener en cuenta que el consejo anterior no aplica para la versi\u00f3n troyanizada de Telegram, ya que el destinatario de la direcci\u00f3n de la billetera solo ve la billetera del atacante y no tendr\u00e1 herramientas para saber si la direcci\u00f3n es genuina.<\/li>\n
  4. No almacenar en el dispositivo im\u00e1genes o capturas de pantalla sin cifrar que contengan informaci\u00f3n confidencial, como frases mnemot\u00e9cnicas, contrase\u00f1as y claves privadas.<\/li>\n
  5. Si se cree que tiene en su dispositivo una versi\u00f3n troyanizada de Telegram o WhatsApp, eliminarla manualmente de su dispositivo y descargar la aplicaci\u00f3n desde Google Play o directamente desde el sitio web leg\u00edtimo.<\/li>\n<\/ol>\n

    Recomendaciones de ESET para la prevenci\u00f3n y desinstalaci\u00f3n en Windows:<\/b><\/p>\n

      \n
    1. En caso de que estar seguro que el instalador de Telegram es leg\u00edtimo, verificar si la firma digital del archivo es v\u00e1lida y se emiti\u00f3 a Telegram FZ-LLC.<\/li>\n
    2. Si se sospecha que la aplicaci\u00f3n Telegram es maliciosa, se recomienda utilizar una soluci\u00f3n de seguridad para detectar la amenaza y eliminarla. Incluso de no poseer dicho software, se puede utilizar el\u00a0esc\u00e1ner online y gratuito de ESET<\/a>.<\/li>\n
    3. La \u00fanica versi\u00f3n oficial de WhatsApp para Windows est\u00e1 actualmente disponible en la tienda de Microsoft. Si se instal\u00f3 la aplicaci\u00f3n desde cualquier otra fuente, se recomienda eliminarla y luego escanear el dispositivo.<\/li>\n<\/ol>\n

      Para saber m\u00e1s sobre el an\u00e1lisis de las aplicaciones seg\u00fan las funcionalidades (clippers para Android y aplicaciones maliciosas para Windows) acceda al\u00a0an\u00e1lisis t\u00e9cnico<\/a>.<\/p>\n

      Para conocer m\u00e1s sobre seguridad inform\u00e1tica ingrese al portal de noticias de ESET: https:\/\/www.welivesecurity.com\/la-es\/2023\/03\/16\/aplicaciones-troyanizadas-whatsapp-telegram-roban-billeteras-criptomonedas\/<\/a><\/p>\n

      Por otro lado, ESET invita a conocer Conexi\u00f3n Segura<\/b><\/a>, su podcast para saber qu\u00e9 est\u00e1 ocurriendo en el mundo de la seguridad inform\u00e1tica. Para escucharlo ingrese a: https:\/\/open.spotify.com\/episode\/7369TdwSZRTmZRC7PikhXd<\/a><\/p>\n

      Por Flavio Borquez Tarff<\/p>\n","protected":false},"excerpt":{"rendered":"

      Por Flavio Borquez Tarff El equipo de investigaci\u00f3n de ESET, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas descubri\u00f3 docenas de sitios web que se hac\u00edan pasar por Telegram y WhatsApp apuntando principalmente a usuarios de Android y Windows con versiones troyanizadas de estas aplicaciones de mensajer\u00eda instant\u00e1nea. La mayor\u00eda de las aplicaciones maliciosas identificadas son […]<\/p>\n","protected":false},"author":2,"featured_media":15874,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[93,146,2],"tags":[988,9698],"wppr_data":{"cwp_meta_box_check":"No"},"_links":{"self":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts\/15873"}],"collection":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/comments?post=15873"}],"version-history":[{"count":1,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts\/15873\/revisions"}],"predecessor-version":[{"id":15875,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/posts\/15873\/revisions\/15875"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/media\/15874"}],"wp:attachment":[{"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/media?parent=15873"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/categories?post=15873"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.notaoficial.com\/s\/wp-json\/wp\/v2\/tags?post=15873"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}