Resumen
En abril de 2018, 360 Security Center supervisó por primera vez un tipo de troyano CryptoMiner en la plataforma de PC.
El troyano supervisa constantemente el contenido del portapapeles del usuario y determina si se trata de una dirección de criptodivisa, como Bitcoin, Ethereum, etc. Luego, cambia la dirección de destino por su propia dirección cuando el usuario realiza transacciones, implementando el robo en silencio. Lo denominamos “Clipboard Wallet Hijacker” (secuestrador de carteras en el portapapeles).
Dado que el monedero electrónico del atacante puede obtener directamente una gran cantidad de ingresos, ha aparecido un troyano que ataca los monederos electrónicos en PC.
Para junio de 2018, 360 Total Security había interceptado más de 50 000 ataques de troyanos, permitiendo a los usuarios recuperar más de 40 millones. En lo que concierne a transferencias de monederos de Bitcoin, solo hay que abrir el monedero, introducir la dirección de destino y el importe de la transferencia.
El troyano “Clipboard Wallet Hijacker” utiliza una técnica de secuestro de portapapeles para reemplazar la dirección de la cartera a fin de robar sus criptodivisas. El uso del portapapeles no requiere que los usuarios otorguen permisos adicionales, lo que facilita el uso del mismo, y su contenido corre el riesgo de ser robado y manipulado.
Cada usuario debe mejorar su conciencia de la seguridad y desarrollar buenas prácticas de uso de teléfonos móviles. Cuando se trata de operaciones de transferencia, los usuarios deben verificar cuidadosamente la dirección de la cuenta de destino.
El desarrollador del monedero electrónico debe introducir mecanismos de control para información confidencial, como el número de cuenta, la contraseña y la dirección del monedero, en un teclado cifrado.
En términos de seguridad, el troyano de Android está muy influenciado por el de PC. A partir de la tendencia histórica de las familias de troyanos, cuando uno aparece en PC no tarda en pasar a plataformas móviles.”
Detalle
Los investigadores de 360 continuaron rastreando y analizando los troyanos relacionados en las plataformas Android. En abril de 2018, 360 Security Center supervisó por primera vez un tipo de troyano CryptoMiner en la plataforma de PC. El troyano supervisa constantemente el contenido del portapapeles del usuario para determinar si se trata de una dirección de criptodivisa, como Bitcoin o Ethereum. Luego, cuando el usuario opera con la misma, se reemplaza la dirección de destino con la del ladrón y se realiza el robo. Lo llamamos “Clipboard Wallet Hijacker”.
En junio de 2018, la infección acumulada del troyano había alcanzado 660 000 equipos. En agosto de 2018, también capturamos el mismo tipo de troyano en la plataforma Android.”
Zonas infectadas y pérdidas
Los datos supervisados por 360 Security Center muestran que el troyano “Clipboard Wallet Hijacker” se propaga en la plataforma de PC a través de virus infectados, descargadores de troyanos, correo no deseado, etc. y la cantidad acumulada de transmisiones ha superado el millón.
Para junio de 2018, 360 Total Security había interceptado más de 50 000 ataques de troyanos, lo que ayudó a los usuarios a recuperar más de 40 millones de dólares.
El principio del troyano Clipboard Wallet Hijacker
1. Proceso de transferencia de monedero electrónico
Tomemos como ejemplo el monedero de bitcoin. El proceso de transferencia de fondos solo requiere abrir la aplicación del monedero electrónico, introducir la dirección del monedero y el importe de la transferencia.
2. Principio de secuestro del portapapeles
Este tipo de troyano que roba criptodivisa utiliza tecnología de secuestro de portapapeles para reemplazar la dirección del monedero a fin de robar criptodivisas.
a) Secuestro de portapapeles en PC
El portapapeles de PC es en realidad una parte de la memoria compartida global reservada por el sistema para almacenar temporalmente los datos intercambiados entre procesos: el proceso que proporciona los datos crea un bloque de memoria global y mueve o copia los datos que se transferirán al bloque de memoria A; un proceso que acepta datos (o el proceso en sí mismo que los proporciona) adquiere un identificador para el bloque de memoria y completa la lectura de los datos del mismo.
El troyano de PC siempre leerá los datos en la memoria del portapapeles, verificará si se trata de la dirección de un monedero y, de ser así, reemplazará dicha dirección en el portapapeles.
b) Secuestro de portapapeles en Android
La API del portapapeles de Android en sí misma es muy sencilla, e incluye métodos para recuperar y establecer automáticamente los datos existentes en el portapapeles. Estos datos son un objeto ClipData que define el protocolo para el intercambio de datos entre aplicaciones. Los pasos que utiliza el portapapeles son:
Cuando el troyano de la plataforma Android se encuentre en este paso, el troyano comprobará si el contenido del portapapeles es la dirección del monedero electrónico y, de ser así, la reemplazará por la dirección del monedero del atacante para lograr el propósito del secuestro.
3. Análisis
a) Plataforma de PC
El troyano de la plataforma de PC se utiliza principalmente para reemplazar las direcciones de los tipos ETH y Bitcoin (BTC). La función de entrada de troyano es leer los datos del portapapeles cíclicamente.
Determina si es una dirección de Ethereum (ETH). De ser así, reemplaza la dirección dentro del portapapeles.
Comprueba direcciones de ETH y Bitcoin (BTC).
b) Plataforma Android
Cuando el troyano supervisa el contenido del portapapeles del teléfono móvil del usuario, evalúa si es la dirección de un monedero de criptodivisas y la reemplaza con el monedero del atacante, que recupera de un servicio en la nube. Cuando el usuario pega la dirección de monedero copiada en la columna de dirección de la transferencia, el troyano ha reemplazado la dirección de monedero original con la dirección de monedero del atacante, causando la pérdida de los fondos del usuario.
Los troyanos pretenden robar 7 criptodivisas:
BTC (Bitcoin)
DASH
DOGE
ZEC
ETH (Ethereum)
LTC (Litecoin)
Monero (Monroe)
Para 4 carteras de destino:
QIWI
WMZ
WMR
Yandex
Primero, el troyano abre un monitor para obtener los contenidos del portapapeles.
Luego, supervisa el contenido y la longitud del portapapeles para que coincida con el formato de la dirección del monedero específico.
Si nos fijamos por ejemplo en el formato de la dirección del monedero de bitcoin: 1B4cqwD9nMik86HeWpr6uYLox693ZEo5qH, la longitud total de la dirección es 34, comenzando con 1 o 3.
Finalmente, si se cumple el formato de destino, se envía la solicitud al servidor, se obtiene la dirección de monedero electrónico correspondiente y se reemplaza.
Conclusión
1. La estimación del riesgo potencial de la función de portapapeles.
El uso del portapapeles no requiere que el usuario otorgue permisos adicionales, lo que facilita su uso y los problemas de seguridad asociados con él son dignos de toda atención y prevención:
* Los contenidos del portapapeles han sido robados.
El portapapeles tiene un vigilante que supervisa los cambios en su contenido. Cuando el usuario utiliza el portapapeles, el vigilante puede obtener el contenido específico copiado por el usuario. Cuando un tercero distinto al que el usuario espera obtiene el contenido, el usuario corre el riesgo de sufrir una violación de su privacidad. En lo que respecta a las contraseñas de cuentas o información de tipo privado, recomendamos no usar la función del portapapeles a la ligera.
* Los contenidos del portapapeles han sido manipulados.
Una vez que un tercero conoce el contenido del portapapeles, puede manipularlo, por ejemplo, modificando la información de un enlace para guiar al usuario a una trampa de phishing. Cuando usted, como usuario, utilice el portapapeles para realizar copias de hipervínculos, recuerde abrir el contenido cuidadosamente. En la introducción de la función del portapapeles, mencionamos que no solo puede albergar texto, sino también URI e intents. Cuando se reemplaza la URI y el intent, el resultado es impredecible. Si se usa maliciosamente, las consecuencias pueden ser desastrosas.
2. Recomendación
En plataformas Android, debido a las limitaciones del sistema, es difícil que el software de seguridad de terceros pueda defenderse de manera efectiva del troyano que secuestra el portapapeles. Por eso, recomendamos a nuestros usuarios:
Usuario individual
Mejorar la conciencia de la seguridad. Se deben cultivar buenos hábitos de uso de teléfonos móviles y llevar a cabo operaciones de transferencia manualmente. La dirección de la cuenta se debe revisar cuidadosamente.
El usuario debe descargar software de fuentes fiables, instalar software de seguridad y actualizar el sistema del teléfono a la última versión.
Desarrollador del monedero electrónico
Debe introducir mecanismos de control para información confidencial, como el número de cuenta, la contraseña y la dirección del monedero, en un teclado cifrado:
Está prohibido copiar y pegar. Muchas aplicaciones y controles de entrada de tipo bancario utilizan tales medidas de seguridad.
Supervise el portapapeles para comparar el contenido copiado y pegado por el usuario. En la plataforma de PC, hemos podido interceptar efectivamente este tipo de troyano. Los guardianes de seguridad de 360 lanzaron la función de cortafuegos de blockchain en junio de 2018 [3], que se utiliza para resolver la cadena de bloques que usa el usuario cuando trabaja con monedas digitales. Otros productos relacionados pueden sufrir ataques, como manipulación del portapapeles, ataques contra carteras de criptodivisas, robos de contraseñas de la cuenta y más problemas de seguridad.
Cuando el usuario realiza transacciones de criptomonedas, se activa la función del “cortafuegos de cadena de bloques”. Si se detecta la manipulación de la dirección del monedero en el portapapeles, 360 Total Security mostrará una ventana de advertencia.
En términos de seguridad, el troyano de Android está muy influenciado por el de PC. A partir de la tendencia histórica de las familias de troyanos, cuando uno aparece en PC no tarda en pasar a plataformas Android.
En la actualidad, la plataforma Android ya tiene una gran cantidad de aplicaciones de monederos de criptodivisas, lo que permite a la mayoría de los entusiastas de estas tecnologías comprar, vender, transferir y consultar el mercado cómodamente. Sin embargo, los problemas de seguridad que causan al mismo tiempo son dignos de nuestra atención. En la actualidad, el troyano “Clipboard Ghost” capturado en la plataforma Android está orientado a Europa y los Estados Unidos, y no ha habido una muestra similar en China. Sin embargo, por el análisis de la plataforma de PC y la muestra de Android, el troyano ya tenía la función de robar la criptodivisa en la segunda, y se prevé que pronto aparecerán ataques maliciosos contra usuarios chinos. Al ser una tecnología emergente, la cadena de bloques no es perfecta en términos de seguridad, lo que puede llevar a la divulgación de información personal y pérdidas de propiedad. Por lo tanto, mejorar la seguridad de los datos se ha convertido en un problema urgente por resolver. Los investigadores de 360 continuarán prestando atención a tales muestras.