Selecciona Edición
Entra en EL PAÍS
Conéctate ¿No estás registrado? Crea tu cuenta Suscríbete
Selecciona Edición
Tamaño letra

Un programa ‘secuestra’ millones de Android y funde los teléfonos para extraer criptomonedas

El aparato hace minería de la moneda virtual Monero hasta que el usuario introduce un código 'captcha'

Una mujer mira el móvil mientras cruza la Quinta avenida de Nueva York.
Una mujer mira el móvil mientras cruza la Quinta avenida de Nueva York.

Una empresa de seguridad informática ha lanzado una alerta sobre un programa malicioso que secuestra temporalmente teléfonos Android para extraer criptomoneda Monero o XMR sin que el usuario lo sepa y, además, sobrecarga el aparato cautivo. Los analistas de seguridad aseguran que unos 60 millones de usuarios han visitado el dominio malicioso desde el que comienza la colecta subrepticia, al que se llega mediante un anuncio colocado en una página no sospechosa. Al clicar sobre el señuelo, este captura el teléfono y lo pone a trabajar (a hacer mining), haciéndolo funcionar a tope de potencia, lo que puede acabar fundiendo el aparato.

La firma Malwarebytes Labs, con sede en Santa Clara (California), ha detallado que el ataque es un ejemplo de lo que se llama drive-by mining, en el cual un malhechor explota un dispositivo para extraer criptomoneda durante un corto periodo de tiempo, a veces apenas un minuto y sin dejar un rastro aparente en el teléfono. La alerta no detalla las cantidades de Monero captadas con este sistema.

El trabajo oculto de minería comienza cuando el usuario se conecta a una página habitualmente segura y pincha sobre un anuncio malicioso (malvertising). Si al pinchar el malware detecta que se trata de un dispositivo Android, redirige hacia otra página, esta ya maliciosa, y lo pone a picar criptomoneda.

Esa página informa de que el teléfono está teniendo "un comportamiento de navegación sospechoso" y reclama al dueño del teléfono que introduzca un código captcha para verificar que no se trata de un robot, sino de un humano. Cuando esta clave se introduce, la minería cesa, pero el mal ya está hecho. Mientras no se introduzca el código, la minería de criptomoneda sigue en marcha de manera indefinida. La alerta no detalla ni las páginas donde se ha colocado el anuncio trampa ni de qué va este reclamo.

El mal consiste no solo en que el teléfono ha estado recolectando criptomonedas para otros sin que el dueño lo sepa. Además, al trabajar con Monero hace que la CPU del teléfono trabaje al 100%, lo que puede provocar que el chip se sobrecaliente y se bloquee. Malwarebytes Lab recomienda ejecutar un conjunto de antivirus para detener el ataque para evitar que el aparato se funda.

Por otro lado, la empresa desarrolladora de software de mensajería Telegram ha corregido una vulnerabilidad presente en la versión para Windows de su aplicación homónima, mediante la que era posible distribuir malware descargable, camuflado desde el estándar de código Unicode. El bug, empleado para minería de criptomoneda, fue detectado por la compañía Kaspersky Lab.

Kaspersky ha alertado de que a través de esta vulnerabilidad, detectada exclusivamente en la versión de escritorio para Windows de Telegram y no en sus ediciones móviles, los ciberdelincuentes eran capaces de camuflar archivos infectados con malware a través de un comando del estándar de código Unicode que voltea el orden de las letras de una palabra.

Más información