Qué es Clipper Malware y cómo afecta a los usuarios de Android

El 8 de enero de 2019, vimos la primera instancia de «malware clipper» en la tienda Google Play. Se disfrazó como una aplicación inocente para engañar a la gente y descargarla, luego comenzó a redirigir los fondos de criptomoneda al autor del malware.

Pero, ¿qué es el malware clipper, cómo funciona y cómo podáis evitar un ataque?

¿Qué es Clipper Malware?

El malware Clipper se dirige a las direcciones de billetera de criptomoneda durante una transacción. Una dirección de billetera es como la versión en criptomoneda de un número de cuenta bancaria. Si deseáis que alguien te pague en criptomoneda, os da tu dirección de billetera y el beneficiario la ingresa en tus detalles de pago.

El malware Clipper secuestra una transacción de criptomoneda al intercambiar una dirección de billetera con una propiedad del autor del malware. Cuando el usuario va a realizar un pago desde su cuenta de criptomoneda, termina pagando al autor del malware en lugar del destinatario deseado.

Esto puede causar un daño financiero grave si el malware logra secuestrar una transacción de alto valor.

Cómo funciona Clipper Malware

El malware Clipper realiza este intercambio al monitorear el portapapeles del teléfono infectado, donde se almacenan los datos copiados. Cada vez que el usuario copia datos, el clipper los verifica para ver si contiene alguna dirección de billetera de criptomoneda. Si lo hace, el malware lo intercambia con la dirección del autor del malware.

Ahora, cuando el usuario va a pegar la dirección, terminará pegando la dirección secuestrada en lugar de la legítima.

El malware de Clipper explota la naturaleza complicada de las direcciones de billetera. Estas son largas cadenas de números y letras que aparentemente se eligen al azar. A menos que un usuario hayas usado una dirección de billetera varias veces, hay muy pocas posibilidades de que se den cuenta de que se ha cambiado.

Peor aún, su complejidad significa que es mucho más probable que las personas copien y peguen la dirección, ¡exactamente lo que quiere el malware del clipper!

¿Cuánto tiempo ha estado alrededor?

Clipper malware, por sí mismo, no es nada nuevo. Entró en escena alrededor de 2017 y se centró principalmente en máquinas basadas en Windows. Desde entonces, el malware clipper para Android se ha desarrollado y vendido en el mercado negro; y las aplicaciones infectadas se pueden encontrar en sitios con sombra.

Dichos sitios fueron el escenario para el malware Gooligan 2016, que infectó 1 millón de dispositivos.

Esta es la primera instancia de una aplicación en la tienda oficial de Google Play infectada con malware clipper. Subir con éxito una aplicación infectada a la tienda oficial es el escenario soñado de cualquier distribuidor de malware. Una aplicación en la tienda Google Play tiene un cierto aire de autenticidad; lo que la hace más confiable que las aplicaciones que se encuentran en un sitio web aleatorio.

Esto significa que las personas normalmente descargan e instalan aplicaciones de la tienda sin cuestionarlas. Esto es exactamente lo que quieren los autores de malware.

¿Qué aplicaciones contenían malware de Clipper?

El malware del clipper residía en una aplicación llamada MetaMask. Es un servicio real que permite aplicaciones distribuidas basadas en el navegador para la criptomoneda Ethereum. MetaMask aún no tiene una aplicación oficial de Android. Esto fue aprovechado por los autores de malware aprovecharon esto para que la gente crea que sí.

Esta aplicación de MetaMask falsa hizo más que intercambiar direcciones de criptomonedas en el portapapeles. También solicitó los detalles del usuario de Ethereum como parte de una configuración de cuenta falsa. Una vez que el usuario confiado ingresó los detalles, los autores del malware tenían toda la información que necesitaban para iniciar sesión en la cuenta y vaciarla por sí mismos.

Afortunadamente, una empresa de seguridad descubrió el malware clipper antes de que causara demasiado daño. La aplicación falsa de MetaMask se cargó el 1 de febrero de 2019 y se informó y eliminó solo una semana después.

El aumento en los ataques de criptomoneda

Si bien este vector de ataque es nuevo, no es una gran sorpresa. Las criptomonedas son un gran negocio en estos días; y con ellas viene el potencial de hacer una gran cantidad de dinero. Si bien la mayoría de las personas están satisfechas con ganar dinero por medios legales, siempre habrá algunos que intentarán explotar a otros en su lugar.

Los cryptojackers son los favoritos de los autores de malware de todo el mundo. Estos secuestran el procesador de un teléfono para que sea una criptomoneda mía para el autor, preferiblemente sin que el usuario final se dé cuenta.

Al igual que en este ejemplo de malware de clipper, las empresas de seguridad encontraron cryptojackers que infectan aplicaciones en la tienda Google Play. Como tal, esto puede ser solo el comienzo del malware basado en la criptomoneda que ataca a los usuarios en los teléfonos Android.

Cómo evitar un ataque de malware Clipper

Esto puede sonar muy aterrador, pero evitar un ataque de malware de clipper es bastante simple. El malware de Clipper depende de que el usuario ignore su existencia e ignore las señales de advertencia. Aprender sobre cómo funciona el malware clipper es un gran paso para derrotarlo. Al leer este artículo, ¡ya has hecho el 90 por ciento del trabajo!

Primero, siempre asegúrate de descargar aplicaciones de la tienda Google Play. Si bien Google Play no es perfecto, es mucho más seguro que los sitios con sombra en Internet. Intente evitar los sitios que actúan como una «tienda de terceros» para Android, ya que es mucho más probable que contengan malware que Google Play.

¿Qué es Clipper Malware y cómo afecta a los usuarios de Android?

Al descargar aplicaciones en Google Play, verifica dos veces el total de descargas de la aplicación antes de instalar. Si una aplicación no ha existido por mucho tiempo y tiene un bajo número de descargas, descargarla podría ser riesgoso. Del mismo modo, si la aplicación afirma que es la versión móvil de un servicio popular, vuelva a verificar el nombre del desarrollador.

Si el nombre difiere (aunque sea ligeramente) del nombre del desarrollador oficial, es una gran señal de advertencia de que algo está mal.

Incluso si tu teléfono se infecta con el malware del clipper, podáis evitar un ataque con cuidado. Verifica dos veces las direcciones de billetera que pegue para asegurarte de que no hayas cambiado a la mitad. Si la dirección que pegas es diferente a la que copiaste, el malware del clipper está al acecho en tu sistema.

Realiza un análisis de virus completo y elimina las aplicaciones sombrías que hayas instalado recientemente.

Recortando las alas de Clipper Malware

El malware de Clipper puede ser devastador para cualquiera que maneje grandes cantidades de criptomoneda. La naturaleza complicada de las direcciones de billetera, combinada con la tendencia típica de un usuario a copiar y pegar, le da al malware del clipper una oportunidad para atacar.

¡Es posible que muchas personas ni siquiera se den cuenta de lo que están haciendo hasta que sea demasiado tarde!

Afortunadamente, derrotar el malware clipper es simple. Nunca descargues aplicaciones sospechosas y verifica todos los enlaces de la cartera antes de confirmar una transacción.

:)