El equipo de investigadores de la firma de seguridad informática Malwarebytes ha detectado una amenaza en la aplicación de seguimiento de precios de criptomonedas CoinTracker que podría exponer a los usuarios a robos de criptomonedas.

A través de una publicación en su blog, la firma explicó que la versión de CoinTracker para Mac está instalando puertas traseras a través de malware, aunque por ahora se desconoce si los creadores del software tienen la responsabilidad sobre esta amenaza o si fue comprometida por un hacker.

Los investigadores explican que a ser instalada, CoinTracker descarga de forma secreta dos puertas traseras en ordenadores con macOS, lo que le da la posibilidad a un hacker de controlar el equipo de forma remota. Todo parte de un troyano llamado 1vladimir, que al ser ejecutado, permite que la app se conecte a un servidor remoto y descargue scripts de Shell y Python, los que a su vez se encargan instalar las puertas traseras cuando la aplicación está ejecutándose.

A través de un repositorio de Github, el malware descarga versiones personalizadas de EggShell y EvilOSX, conocidas puertas traseras en el sector informático. Malwarebytes afirma que dicho repositorio fue eliminado.

Con respecto al funcionamiento de los scripts, estos instalan EggShell en el sistema y luego crean un agente de inicio cuyo objetivo es configurar el software para activar la puerta trasera cuando el usuario inicia sesión en su ordenador Mac. Luego, EvilOSX aparece y emplea un script encargado de ocultar la actividad maliciosa.

Malwarebytes afirma que este tipo de actividad es muy usual en desarrolladores que buscan que sus apps no sean detectadas por los controles de seguridad de las principales tiendas de aplicaciones. En el caso de Google, la compañía recientemente modificó sus políticas para la Play Store, impidiendo que este tipo de apps maliciosas sean publicadas en su plataforma.

De momento, los responsables de CoinTracker no han emitido ningún comentario al respecto, y tampoco se han revelado cifras de cuántos usuarios pueden haber sido afectada por este malware. En todo caso, es muy probable que la app haya sido creada con total consciencia de que se trata de una actividad maliciosa.

Escribir un comentario