Defenderse contra el malware Clipper: Un análisis en profundidad de las aplicaciones de comunicación falsas y reempaquetadas

Principales conclusiones

• La amenaza global para los usuarios de criptomonedas que supone el malware clipper sigue activa, impulsada por aplicaciones reempaquetadas que interceptan mensajes con direcciones de criptomonedas y las sustituyen por las direcciones de los delincuentes.

• La última versión de este ataque se ha difundido a través de versiones muy convincentes pero falsas de aplicaciones populares de mensajería, tanto en móvil como en PC.

• El equipo de Seguridad de Binance trabaja sin descanso monitorizando la amenaza, detectando y bloqueando direcciones de estafadores, y sensibilizando al público para ayudar a los usuarios a defenderse de este riesgo.

Recientemente hemos hablado sobre la amenaza global persistente del malware clipper, que principalmente apunta a usuarios móviles mediante apps falsas y reempaquetadas, incluyendo aplicaciones falsas de Binance. La amenaza no solo sigue activa, sino que evoluciona con el tiempo, cambiando recientemente su modo de propagación: apps de mensajería falsas como Telegram y WhatsApp, tanto en plataformas móviles como de PC.

En esta publicación de seguimiento, nuestro objetivo es educar y alertar aún más a nuestros usuarios sobre los peligros evolutivos del malware clipper y detallar las acciones que el equipo de Seguridad de Binance está llevando a cabo para proteger a la comunidad.

Resumen: Naturaleza e historia del malware Clipper

El malware clipper es un tipo de programa creado por ciberdelincuentes para interceptar los datos del portapapeles, normalmente direcciones de monederos de criptomonedas. El ataque consiste en sustituir la dirección copiada del monedero de la víctima por una dirección controlada por el hacker. Si el usuario pega inadvertidamente esta dirección manipulada al realizar una transacción, enviará sus fondos al monedero del hacker sin darse cuenta.

El primer incidente amplio de este tipo de malware se produjo en 2019, cuando apareció una app falsa de MetaMask en la Google Play Store. La aplicación tenía como objetivo robar claves privadas y reemplazar direcciones de criptomonedas copiadas al portapapeles.

Desde entonces, el malware clipper ha evolucionado y se ha integrado en otras aplicaciones, incluyendo exchanges de criptomonedas y servicios de mensajería.

En los últimos meses, la amenaza ha crecido en escala, afectando a un número creciente de usuarios en varias regiones. Por desgracia, la ola de ataques sigue suponiendo un riesgo para la comunidad cripto, sobre todo porque los ciberdelincuentes amplían sus vectores de ataque para abarcar no solo apps falsas de exchanges de criptomonedas, sino también apps de mensajería reempaquetadas como Telegram y WhatsApp, tanto en móvil como en escritorio.

La amenaza en expansión: Apps falsas y reempaquetadas

El ataque inicial se centraba en apps falsas de exchanges, incluida la app de Binance, que buscaban robar las criptomonedas de los usuarios. Sin embargo, ahora hemos descubierto una nueva tendencia preocupante: aplicaciones falsas de Telegram y WhatsApp reempaquetadas por los atacantes y distribuidas por canales no oficiales. Estas aplicaciones falsas imitan la funcionalidad de las aplicaciones legítimas mientras realizan ataques en segundo plano.

Las apps maliciosas analizan cada mensaje en busca de direcciones de monederos y las sustituyen por las direcciones del hacker antes de mostrar la información manipulada al usuario.

WhatsApp (móvil)

Telegram (PC)

Telegram (móvil)

Aún más preocupante es que este ataque no se limita a los dispositivos móviles. Las versiones para PC de estas aplicaciones falsas son igualmente peligrosas, y a menudo vienen acompañadas de troyanos de acceso remoto (RATs), que otorgan a los atacantes control total sobre el sistema de la víctima. Una vez dentro, estos RATs pueden robar información sensible, incluidas credenciales de monederos, y redirigir los fondos sin que el usuario lo sepa.

Cómo funciona el malware Clipper

Los ataques de malware Clipper pueden desarrollarse de diversas maneras, pero todos giran en torno a un mecanismo principal: manipular los datos del portapapeles para interceptar transacciones de criptomonedas. Así es como funciona en diferentes escenarios:

1. Aplicaciones móviles (Telegram y WhatsApp):

   • Un usuario descarga una aplicación falsa de Telegram o WhatsApp desde un sitio web no oficial.

   • La app funciona normalmente, pero monitoriza todos los mensajes y los analiza en busca de direcciones de monederos.

   • Cuando se detecta una dirección de monedero de criptomonedas, el malware la sustituye por la dirección del hacker antes de que se muestre el mensaje al usuario.

   • Alternativamente, el malware intercepta en el momento en que el usuario copia una dirección de monedero mostrada en estas apps falsas y la modifica al pegarla.

   • El usuario, sin saberlo, envía fondos al hacker en vez de al destinatario previsto.

2. Aplicaciones para PC:

   • Del mismo modo, se distribuyen versiones falsas para PC de Telegram y WhatsApp, a menudo empaquetadas con RATs.

   • Una vez instalada, el RAT opera silenciosamente en segundo plano, otorgando control remoto al hacker sobre el sistema de la víctima.

   • El malware puede robar credenciales de monedero o modificar directamente las transacciones, redirigiendo los fondos al monedero del atacante.

   • Incluso si la víctima elimina la app falsa, el RAT puede persistir y seguir suponiendo un riesgo.

Objetivo: usuarios vulnerables en Asia y Oriente Medio

Una parte significativa de las víctimas de malware Clipper provienen de regiones donde Google Play no está ampliamente disponible, como China y Oriente Medio.

Debido a restricciones gubernamentales, los usuarios de estas zonas a menudo recurren a sitios web de terceros para descargar aplicaciones. Esto les hace especialmente vulnerables a descargar apps falsas y reempaquetadas. Por ejemplo, muchos usuarios en China buscan “Telegram下载链接” (enlace de descarga de Telegram) o “Telegram 中文版下载链接 ” (enlace de descarga de la versión china de Telegram), lo que los lleva a sitios web fraudulentos. Estas webs pueden parecer tan sofisticadas que sería difícil para el usuario medio distinguirlas de las oficiales.

Los atacantes suelen distribuir las aplicaciones maliciosas a través de fuentes no oficiales como YouTube o Baidu, y las apps funcionan casi igual que las legítimas. Sin embargo, bajo ciertas condiciones —como cuando el usuario intenta enviar criptomonedas— el malware altera discretamente la dirección del monedero por una que pertenece al atacante.

Esfuerzos continuos del equipo de seguridad de Binance

En Binance, proteger a nuestros usuarios es una prioridad, y nuestro equipo de Seguridad ha estado trabajando activamente para contrarrestar estas amenazas continuas. Hemos tomado varias medidas para detectar y contrarrestar los ataques de malware Clipper:

1. Ingeniería inversa y bloqueo de direcciones sospechosas: El Equipo Rojo de Binance ha realizado ingeniería inversa a muchas de estas aplicaciones maliciosas, identificando los servidores y las direcciones de monedero utilizadas por los atacantes. Esto nos permite tomar medidas contra estas entidades maliciosas mediante la eliminación y el bloqueo de las direcciones de monedero identificadas. 

2. Supervisión mejorada: Hemos implementado sistemas automáticos de rastreo para detectar aplicaciones falsas y sitios web maliciosos. Esto nos permite responder rápidamente y eliminar estas amenazas antes de que puedan perjudicar a nuestros usuarios. 

3. Campañas de concienciación pública: Binance informa activamente a nuestra comunidad sobre estas amenazas a través de publicaciones en el blog, alertas en redes sociales y correos electrónicos. Recalcamos la importancia de descargar aplicaciones únicamente desde fuentes oficiales, como Google Play o la App Store de Apple, y evitar sitios web de terceros.

Cómo protegerte

Esto es lo que puedes hacer para mantenerte a salvo de las amenazas que supone el malware clipper:

1. Descarga aplicaciones desde fuentes oficiales: Utiliza siempre tiendas de aplicaciones legítimas como Google Play o la App Store de Apple. Evita los sitios web de terceros, incluso si parecen ofrecer versiones localizadas de aplicaciones. Sé cuidadoso al instalar aplicaciones y asegúrate de que estás instalando las correctas. 

2. Suscríbete a nuestro canal oficial de Whatsapp: Así podrás mantenerte informado sobre las últimas noticias y amenazas.

3. Verifica las direcciones de monedero: Antes de realizar cualquier transacción de criptomonedas, comprueba dos veces la dirección de monedero que has copiado. Considera usar una aplicación de monedero que resalte partes clave de la dirección para facilitar la verificación.

4. Utiliza medidas de seguridad robustas: Activa la autenticación en dos pasos (2FA) en todas tus cuentas y actualiza regularmente la configuración de seguridad. Usa software antivirus y asegúrate de que esté siempre actualizado. Otras medidas de protección incluyen, pero no se limitan a, cerrar sesión después de acceder a cualquier plataforma financiera, desactivar la conectividad y los servicios de ubicación, y mantener tu información personal privada. Por último, pero no menos importante, ten siempre un plan de respaldo y asegura tu dispositivo físicamente siempre que sea posible. 

5. Ten cuidado con los enlaces sospechosos: Evita hacer clic en enlaces desconocidos en correos electrónicos, redes sociales o aplicaciones de mensajería. Las campañas de phishing suelen acompañar la distribución de malware, engañando a los usuarios para descargar software malicioso.

Reflexión final

La amenaza del malware clipper sigue activa y el abanico de métodos de distribución se ha ampliado más allá de las aplicaciones falsas de Binance, abarcando populares plataformas de comunicación como Telegram y WhatsApp. Tanto en móvil como en PC, estas aplicaciones falsas representan un peligro claro y real para los usuarios de criptomonedas a nivel mundial, sobre todo en regiones donde el acceso a tiendas oficiales de aplicaciones es limitado.

El equipo de seguridad de Binance continúa supervisando, detectando y respondiendo a estas amenazas, pero necesitamos tu vigilancia para estar un paso por delante de los atacantes. Mantente informado, sé precavido y descarga siempre aplicaciones de fuentes confiables.

Para conocer las últimas novedades sobre amenazas de ciberseguridad, sigue los artículos de nuestro blog de seguridad.

Lectura recomendada

• Protege tu cripto: comprende los ataques de malware globales en curso y qué estamos haciendo para detenerlos

• Cuidado con las estafas en WhatsApp: y cómo informar cuando detectes una

• Cómo evitar e informar sobre estafas de servicios falsos

Tenga en cuenta: Puede haber discrepancias entre este contenido original en inglés y cualquier versión traducida (estas versiones pueden ser generadas por IA). Por favor, consulte la versión original en inglés para obtener la información más precisa en caso de que surjan discrepancias.