¿Creías que Linux era seguro? ¡Qué va! Ahora los hackers publican actualizaciones en lugar de los desarrolladores
Exempleado de Canonical advierte sobre nueva técnica para propagar malware en la Snap Store
Hace poco los estafadores tenían que abrirse paso en Snap Store de manera bastante directa. Creaban cuentas nuevas, publicaban aplicaciones falsas y esperaban que los filtros automáticos y la moderación no detectaran el fraude de inmediato. Ahora la técnica se ha vuelto mucho más peligrosa. Los atacantes han aprendido a tomar el control de cuentas de desarrolladores legítimos y a colar actualizaciones maliciosas en lugares en los que los usuarios llevan años confiando.
Se trata de Snap Store, la tienda de aplicaciones de Canonical para Linux. Los paquetes snap son compilaciones comprimidas, firmadas criptográficamente y con posibilidad de reversión para equipos de escritorio, servidores y dispositivos integrados. Casi cualquier persona puede publicarlos, y en la tienda ya hay miles de paquetes de cientos de desarrolladores.
Sobre este problema volvió a advertir el desarrollador y ex empleado de Canonical Alan Pope, que mantiene decenas de paquetes en Snap Store y al mismo tiempo desarrolla herramientas para el análisis de seguridad del software. Creó el proyecto SnapScope. Inicialmente era un servicio que genera una lista de componentes (SBOM) para paquetes snap y los somete a un escáner de vulnerabilidades para encontrar dependencias obsoletas y riesgos potenciales. Pero durante la monitorización salió a la luz un tema conocido: las aplicaciones maliciosas siguen colándose en la tienda, y a veces permanecen allí el tiempo suficiente como para atraer víctimas.
El escenario de «anzuelo» más frecuente está relacionado con billeteras de criptomonedas. Las falsificaciones se hacen pasar por marcas conocidas como Exodus, Ledger Live o Trust Wallet y piden al usuario que introduzca la frase semilla para restaurar la billetera. A continuación, los datos se envían al servidor de los atacantes, la aplicación muestra un error y cuando la persona se da cuenta de que la han engañado, los fondos ya pueden haber sido retirados.
Según el investigador, la administración de Snap Store intenta contener el flujo de estas publicaciones, pero es el clásico juego del gato y el ratón. Los estafadores cambian de tácticas. Al principio solo hacían páginas convincentes en la tienda y añadían capturas de pantalla plausibles. Luego empezaron a eludir los filtros de texto con caracteres parecidos de otros alfabetos, de modo que el nombre parecía correcto pero formalmente era distinto. Más tarde surgió el esquema de «anzuelo y sustitución», cuando se publica un paquete inocuo con un nombre aleatorio, pasa la revisión y en la siguiente versión le introducen una billetera falsa.
Al analizar esos paquetes el investigador notó una infraestructura repetida. Las aplicaciones, al iniciarse, contactaban con el dominio togogeo.com mediante una URL que parecía una comprobación de conexión. Si el sitio no estaba disponible, la «billetera» se negaba a funcionar, lo cual tiene sentido para los atacantes: sin acceso a Internet no pueden enviar los datos robados. Antes, según la descripción, la respuesta del servidor revelaba demasiados detalles, incluida la mención de una notificación en Telegram y un apodo; después, el autor de la nota dice que los atacantes encubrieron la filtración y dejaron en la respuesta solo un carácter.
Pero el giro más desagradable no tiene que ver con la ofuscación y las suplantaciones, sino con la apropiación de la reputación ajena. Los estafadores empezaron a rastrear las cuentas de los editores en Snap Store que estaban vinculadas a dominios cuyo registro había expirado. Luego registran ese dominio liberado a su nombre, inician el restablecimiento de la contraseña en Snap Store y obtienen el control de la cuenta del desarrollador. Como resultado, en manos de los atacantes queda no un perfil recién creado, sino un editor «de toda la vida» con historial y aplicaciones ya instaladas por usuarios. A partir de ahí pueden publicar una actualización que parece una nueva versión normal del paquete conocido, pero que en su interior contiene código malicioso.
El autor de la investigación afirma que al menos dos dominios ya han sufrido esto, storewise.tech y vagueentertainment.com, y admite que puede haber más casos semejantes. El peligro aquí es que uno de los pocos indicios habituales para el usuario —la antigüedad y la fiabilidad del editor— deja de funcionar. Teóricamente, una actualización maliciosa puede llegar incluso a un paquete que usted instaló hace varios años y que nunca sospechó que tuviera problemas.
Conclusiones prácticas. Los desarrolladores de paquetes snap deberían vigilar de cerca el registro de los dominios que se usan como direcciones de contacto, y habilitar la autenticación de dos factores si está disponible. A los usuarios les conviene tratar a las billeteras de criptomonedas como un área de riesgo aumentado y, cuando sea posible, instalar esas aplicaciones solo desde las fuentes oficiales del proyecto. Si en Snap Store aparece una aplicación sospechosa, es mejor presentar una queja de inmediato mediante el enlace Report this app en la página del paquete, porque hoy en día la rapidez de la reacción de la comunidad suele decidir cuántas personas llegarán a ser estafadas.