Hackers de Brasil usan Google Play Store falsa para minar cripto y robar USDT

Hackers en Brasil han estado operando una página falsa de Google Play Store diseñada para engañar a usuarios de Android para que descarguen malware que secuestra sus teléfonos para minar criptomonedas y roba USDT de sus billeteras.

La campaña se dirige a la base de usuarios de cripto de rápido crecimiento de Brasil con una tienda fraudulenta que replica visualmente la Google Play Store legítima. Las víctimas son dirigidas a la página falsa mediante tácticas de ingeniería social, incluyendo malvertising y enlaces de phishing distribuidos vía SMS y redes sociales.

Una vez en la página falsificada, se solicita a los usuarios que descarguen lo que parecen ser aplicaciones Android legítimas. Las descargas son en realidad archivos APK maliciosos que contienen una carga de malware de doble propósito.

Cómo la Falsa Google Play Store Está Atrayendo a Usuarios Brasileños de Android

La tienda falsa imita de cerca el marketplace oficial de aplicaciones de Google, copiando su diseño, marca y formato de listado de aplicaciones. El nivel de detalle hace difícil para usuarios ocasionales distinguir la página fraudulenta de la real.

Los atacantes utilizan múltiples mecanismos de entrega para canalizar víctimas a la URL falsa. Estos incluyen campañas de malvertising pagadas en plataformas sociales, mensajes de phishing enviados vía SMS, y enlaces compartidos en grupos de Telegram y WhatsApp enfocados en criptomonedas populares en Brasil.

Los APK maliciosos están disfrazazos como aplicaciones de utilidad comunes o, en algunos casos, como aplicaciones de billetera de criptomonedas y trading. Debido a que los archivos se instalan externamente en lugar de instalarse a través de la Play Store oficial, evitan completamente el escaneo de seguridad de Google Play Protect.

Esta es una distinción crítica: Play Protect solo cubre aplicaciones distribuidas a través del canal oficial de Google, dejando los APK instalados externamente sin verificar.

Brasil se ha convertido en un objetivo principal para estas campañas. El país tiene una de las bases de usuarios de cripto más grandes en América Latina, con millones de tenedores minoristas gestionando activos digitales en dispositivos móviles.

Esa combinación de alta adopción y uso generalizado de Android crea condiciones ideales para los atacantes. Campañas similares de tiendas de aplicaciones falsas han atacado previamente a usuarios de cripto en el Sudeste Asiático y Europa del Este.

El Malware Secuestra Teléfonos para Minar Cripto y Vaciar Billeteras de USDT

Una vez instalado, el malware ejecuta un ataque de carga dual. El primer componente es un cryptojacker que silenciosamente toma el control de la CPU del dispositivo para minar criptomonedas en segundo plano sin el conocimiento o consentimiento del usuario.

Las víctimas generalmente notan la actividad de minería solo a través de síntomas secundarios: drenaje rápido de batería, sobrecalentamiento y degradación significativa del rendimiento. Estos signos a menudo se confunden con envejecimiento general del teléfono o errores de software, permitiendo que el malware opere sin ser detectado durante períodos prolongados.

El segundo componente, más dañino, se dirige directamente a las tenencias de USDT. El malware utiliza secuestro de portapapeles para interceptar transacciones de criptomonedas. Cuando un usuario copia una dirección de billetera de USDT para enviar fondos, el malware la reemplaza silenciosamente con una dirección controlada por el atacante.

A menos que el remitente verifique manualmente cada carácter de la dirección pegada antes de confirmar, los fondos van directamente a los hackers. Este tipo de ataque de phishing basado en troyanos se ha vuelto cada vez más común en plataformas móviles.

USDT es la stablecoin más ampliamente mantenida entre usuarios minoristas globalmente, lo que la convierte en un objetivo especialmente lucrativo. A diferencia de las criptomonedas volátiles, el USDT robado mantiene su valor vinculado al dólar, dando a los atacantes liquidez inmediata y estable que es fácil de convertir o lavar.

El diseño de doble propósito maximiza los retornos para los atacantes. La minería genera un flujo de ingresos pasivo de cada dispositivo infectado, mientras que el secuestrador de portapapeles espera oportunidades de transacciones de alto valor. Incluso una sola transferencia de USDT interceptada puede generar miles de dólares, haciendo que la operación sea especialmente dañina para usuarios que mantienen saldos significativos de stablecoin en dispositivos móviles.

Este tipo de robo dirigido es parte de un patrón más amplio de pérdidas a gran escala que afectan a tenedores de cripto a través de varios vectores de ataque.

Qué Deben Hacer los Usuarios de Android para Proteger su Cripto

Los usuarios de Android enfrentan mayor exposición a este tipo de ataque que los usuarios de iOS. Android permite instalar aplicaciones desde fuentes fuera de la tienda oficial de forma predeterminada, mientras que iOS restringe las instalaciones a la App Store a menos que un dispositivo esté desbloqueado.

La defensa más efectiva es directa: solo descargue aplicaciones directamente desde la Google Play Store oficial navegando a play.google.com manualmente o usando la aplicación Play Store preinstalada. Nunca instale aplicaciones desde enlaces recibidos vía SMS, correo electrónico, redes sociales o aplicaciones de mensajería.

Los usuarios deben verificar que Google Play Protect esté habilitado en sus dispositivos abriendo la Play Store, tocando el ícono de su perfil y seleccionando "Play Protect". Esto proporciona escaneo básico de malware conocido, aunque no puede proteger contra amenazas que se instalan externamente desde fuentes externas.

Para cualquiera que mantenga cantidades significativas de USDT u otros activos cripto, mantener fondos en un dispositivo móvil representa un riesgo inherente. Los investigadores de seguridad recomiendan usar una billetera de hardware para almacenamiento a largo plazo y tratar las billeteras móviles como si solo llevaran lo que pueda permitirse perder.

Un dispositivo dedicado para transacciones cripto, separado de la navegación diaria y el uso de aplicaciones, agrega otra capa de protección. A medida que los actores institucionales continúan invirtiendo fuertemente en activos digitales, el creciente valor que fluye a través del ecosistema cripto solo aumenta los incentivos para los atacantes.

Al enviar cripto desde cualquier dispositivo, siempre verifique dos veces la dirección de destino completa después de pegar, no solo los primeros y últimos caracteres. Los secuestradores de portapapeles a menudo generan direcciones que coinciden con el principio y el final de la dirección del destinatario previsto para evadir la verificación casual.

El mercado cripto en rápida expansión de Brasil, donde Bitcoin y otros activos digitales han experimentado una acción de precio volátil recientemente, convierte al país en un objetivo de alto valor para campañas de malware móvil. A medida que la adopción de cripto crece en América Latina, la conciencia de seguridad necesita mantenerse al ritmo de las amenazas que se dirigen a los tenedores minoristas en sus dispositivos más personales.

Descargo de responsabilidad: Este artículo es solo para fines informativos y no constituye asesoramiento financiero o de inversión. Los mercados de criptomonedas y activos digitales conllevan un riesgo significativo. Siempre haga su propia investigación antes de tomar decisiones.