La seguridad de las carteras de criptomonedas se ha visto comprometida por una creciente ola de aplicaciones maliciosas que se infiltran en Google Play, utilizando diversas tácticas para sustraer las valiosas frases semilla de los usuarios. 

Esta problemática no se limita a un único método de ataque, sino que abarca desde la suplantación de identidad de aplicaciones legítimas hasta el uso de malware avanzado con capacidades de espionaje.

Modus operandi inicial 

Originalmente, muchas de estas aplicaciones fraudulentas (hasta una veintena) se disfrazan de carteras de criptomonedas o plataformas de intercambio de buena reputación (como SushiSwap, PancakeSwap, Hyperliquid y Raydium). 

Su objetivo principal es engañar a los usuarios para que introduzcan sus frases mnemotécnicas de 12 o 24 palabras, que son la clave maestra para acceder a sus fondos. Una vez obtenidas, los atacantes pueden vaciar las carteras de las víctimas. 

Estas apps a menudo replican las interfaces de servicios legítimos y se distribuyen a través de cuentas de desarrolladores comprometidas o reutilizadas, utilizando herramientas para convertir rápidamente sitios de phishing en aplicaciones Android que cargan páginas falsas solicitando la frase semilla.

Evolución de las amenazas y nuevas tácticas

La investigación de la firma de inteligencia Cyble ha revelado que la campaña es coordinada, con un dominio de phishing vinculado a más de 50 sitios similares. Sin embargo, la amenaza ha evolucionado más allá de simples imitaciones:

• Malware "Crocodilus": este software malicioso no solo roba frases semilla mediante el engaño directo, sino que también posee capacidades adicionales como el control remoto del dispositivo infectado, registro de teclas (keylogging), recolección de datos y ejecución de comandos arbitrarios, convirtiéndolo en una amenaza más amplia para la privacidad y seguridad. Crocodilus emplea ataques de superposición, mostrando ventanas falsas sobre aplicaciones bancarias y de criptomonedas para inducir a los usuarios a introducir sus credenciales o frases de recuperación.
• Malware "SparkCat": este troyano es aún más ingenioso, ya que utiliza la tecnología de reconocimiento óptico de caracteres (OCR) para escanear y extraer frases semilla y otra información sensible (como mensajes o contraseñas) de las capturas de pantalla almacenadas en la galería del teléfono. Se ha detectado en aplicaciones tanto de Google Play como de la App Store, acumulando cientos de miles de descargas antes de ser identificadas.
• Distribución por sitios web falsos y redes sociales: algunas aplicaciones maliciosas no solo se encuentran en tiendas oficiales, sino que también son promocionadas a través de sitios web falsos que imitan servicios legítimos de carteras (como Coinbase, MetaMask, Trust Wallet, etc.), o mediante anuncios engañosos y grupos en plataformas como Telegram o Facebook.

Recomendaciones para protegerse

Ante la sofisticación de estas amenazas, es crucial que los usuarios adopten medidas de seguridad robustas:

• Verificar la autenticidad de las aplicaciones: descargar solo aplicaciones de fuentes oficiales y siempre verificar las reseñas y la reputación del desarrollador. Desconfiar de aplicaciones que soliciten la frase semilla sin una razón clara y verificable.
• Utilizar carteras de hardware (Hardware Wallets): para cantidades significativas de criptomonedas, las carteras de hardware (como Ledger o Trezor) son la opción más segura, ya que almacenan las claves privadas offline, haciéndolas inmunes al malware en el dispositivo. Incluso si una frase semilla es robada, muchas requieren confirmación física para las transacciones.
• Nunca almacenar frases semilla digitalmente: evitar guardar frases semilla en el teléfono (notas, capturas de pantalla, almacenamiento en la nube), ya que pueden ser objetivo de malware OCR o de acceso remoto. Lo ideal es escribirlas en papel o grabarlas en metal y guardarlas en un lugar físico seguro.
• Habilitar la autenticación de múltiples factores (MFA): aunque no protege directamente las frases semilla, es esencial para las cuentas de intercambio y otros servicios.
• Considerar carteras multi-firma (Multi-sig): estas carteras requieren múltiples aprobaciones para completar una transacción, añadiendo una capa extra de seguridad.
• Estar alerta ante ofertas demasiado buenas para ser verdad: los estafadores a menudo atraen a las víctimas con promesas de altos retornos o descubrimientos fortuitos de frases semilla con grandes cantidades de criptomonedas.
• Activar Google Play Protect: mantener activada esta función de seguridad en dispositivos Android.

La prevención es clave en el volátil mundo de las criptomonedas. La educación y la precaución constante son las mejores herramientas para salvaguardar los activos digitales.