Un grupo de hackers se aprovecha de errores de tipeo para introducir malware en teléfonos Android y PCs basados en Windows. Utilizando una técnica llamada «typosquatting», que consiste en registrar dominios que están dramáticamente cerca de los de las marcas oficiales de las organizaciones, los hackers están obteniendo datos y claves privadas de usuarios.
Puntos importantes
- Los hackers se aprovechan del typosquatting
- Al menos 27 marcas están en la mira de los hackers
Por error al teclear un dominio web, puede ser peligroso para su bolsillo, hackers han establecido una red de dominios infectados con malware que se aprovecha de las inexactitudes al teclear de los usuarios al llegar a un sitio determinado. Según un informe publicado por Cyble, una firma de seguridad cibernética y evaluación de riesgos digitales, estos dominios imitan a organizaciones y aplicaciones renombradas, como el Google Play Store, Apkure y Apkcombo, entre otros. Los usuarios que visitan estos dominios son instados a descargar una versión infectada de la aplicación solicitada, lo cual servirá como vehículo para la infección. El dispositivo objetivo, ya sea un teléfono Android o una PC con Windows, quedará infectado con una versión de ERMAC, un malware troyano que permite a los actores del ataque acceder a varios datos críticos en el dispositivo objetivo, incluidos las claves privadas. El troyano bancario fue descubierto por primera vez en 2021 y ahora está atacando más de 460 aplicaciones, lo que permite a los atacantes alquilar sus servicios por $5,000 al mes.
Sitios y marcas más involucradas
Aunque el informe mencionado solo encontró evidencia de un grupo pequeño de aplicaciones y marcas que son imitadas, una investigación posterior por otra fuente de seguridad confirmó que al menos 27 marcas y nombres de aplicaciones están siendo objetivo de este tipo de ataque. Entre ellas están Tiktok, Vidmate, Snapchat, Paypal, y muchas otras aplicaciones orientadas al desarrollo, como Notepad+ y el navegador Tor. Las billeteras de criptomonedas y la minería de criptomonedas y sitios relacionados también están en la lista. Tronlink, Metamask, Phantom, Cosmos Wallet y Ethermine son parte del grupo de sitios también atacados. Cada uno de estos dominios falsos tiene registrados diferentes dominios «typo-squatted»(dominios similares), para maximizar el efecto y el daño del ataque.
Cybel recomienda diferentes medidas para evitar este tipo de ataque, incluyendo tener un antivirus efectivo protegiendo tu teléfono y PC, y monitorear tus billeteras y cuentas bancarias regularmente. Sin embargo, la mejor recomendación es acceder a las páginas web de software y aplicaciones a través de un buscador, evitando las direcciones y enlaces mostrados como parte de campañas de publicidad.
