Getty Images Los investigadores han descubierto más de 280 aplicaciones maliciosas para Android que utilizan el reconocimiento óptico de caracteres para robar credenciales de billeteras de criptomonedas de dispositivos infectados. Las aplicaciones se hacen pasar por oficiales de bancos, servicios gubernamentales, servicios de transmisión de TV y servicios públicos. De hecho, rastrean los teléfonos infectados en busca de mensajes de texto, contactos y todas las imágenes almacenadas y los envían subrepticiamente a servidores remotos controlados por los desarrolladores de la aplicación. Las aplicaciones están disponibles en sitios maliciosos y se distribuyen en mensajes de phishing enviados a los objetivos. No hay indicios de que alguna de las aplicaciones estuviera disponible a través de Google Play. Un alto nivel de sofisticación Lo más notable de la campaña de malware recién descubierta es que los actores de amenazas detrás de ella están empleando software de reconocimiento óptico de caracteres en un intento de extraer credenciales de billeteras de criptomonedas que se muestran en imágenes almacenadas en dispositivos infectados. Muchas billeteras permiten a los usuarios proteger sus billeteras con una serie de palabras aleatorias. Las credenciales mnemotécnicas son más fáciles de recordar para la mayoría de las personas que el revoltijo de caracteres que aparecen en la clave privada. Las palabras también son más fáciles de reconocer para los humanos en las imágenes. SangRyol Ryu, investigador de la empresa de seguridad McAfee, hizo el descubrimiento después de obtener acceso no autorizado a los servidores que recibieron los datos robados por las aplicaciones maliciosas. Ese acceso fue el resultado de configuraciones de seguridad débiles realizadas cuando se implementaron los servidores. Con eso, Ryu pudo leer las páginas disponibles para los administradores de servidores. Una página, que se muestra en la imagen a continuación, fue de particular interés. Mostraba una lista de palabras cerca de la parte superior y una imagen correspondiente, tomada de un teléfono infectado, debajo. Las palabras representadas visualmente en la imagen correspondían a las mismas palabras. Ampliar / Una página de administración que muestra detalles de OCR. McAfee “Al examinar la página, quedó claro que un objetivo principal de los atacantes era obtener las frases mnemotécnicas de recuperación para billeteras de criptomonedas”, escribió Ryu. “Esto sugiere un énfasis importante en obtener acceso y posiblemente agotar los activos criptográficos de las víctimas”. El reconocimiento óptico de caracteres es el proceso de convertir imágenes de texto mecanografiado, escrito a mano o impreso en texto codificado por máquina. El OCR existe desde hace años y se ha vuelto cada vez más común transformar caracteres capturados en imágenes en caracteres que pueden ser leídos y manipulados por software. Ryu continuó: Esta amenaza utiliza Python y Javascript en el lado del servidor para procesar los datos robados. Específicamente, las imágenes se convierten en texto utilizando técnicas de reconocimiento óptico de caracteres (OCR), que luego se organizan y administran a través de un panel administrativo. Este proceso sugiere un alto nivel de sofisticación en el manejo y uso de la información robada. Ampliar / Código Python para convertir el texto que se muestra en las imágenes en texto legible por máquina. McAfee Las personas que estén preocupadas por haber instalado una de las aplicaciones maliciosas deben consultar la publicación de McAfee para obtener una lista de sitios web asociados y hashes criptográficos. El malware ha recibido múltiples actualizaciones a lo largo del tiempo. Mientras que antes usaba HTTP para comunicarse con los servidores de control, ahora se conecta a través de WebSockets, un mecanismo que es más difícil de analizar para el software de seguridad. Los WebSockets tienen el beneficio adicional de ser un canal más versátil. Ampliar / Una cronología de la evolución de las aplicaciones. Los desarrolladores de McAfee también han actualizado las aplicaciones para ofuscar mejor su funcionalidad maliciosa. Los métodos de ofuscación incluyen la codificación de las cadenas dentro del código para que no sean fáciles de leer para los humanos, la adición de código irrelevante y el cambio de nombre de funciones y variables, todo lo cual confunde a los analistas y dificulta la detección. Si bien el malware está principalmente restringido a Corea del Sur, recientemente ha comenzado a propagarse dentro del Reino Unido. «Este desarrollo es significativo ya que muestra que los actores de amenazas están expandiendo su enfoque tanto demográfica como geográficamente», escribió Ryu. «El traslado al Reino Unido apunta a un intento deliberado por parte de los atacantes de ampliar sus operaciones, probablemente apuntando a nuevos grupos de usuarios con versiones localizadas del malware».