Los investigadores de ESET han descubierto malware como infostealers y spyware que se distribuyen a través de tiendas de aplicaciones y sitios web falsos que intentan aprovechar la popularidad del juego.
En los últimos meses, el juego de Telegram Hamster Kombat ha tomado por asalto el mundo de los entusiastas de los juegos con criptomonedas. Aunque el modo de juego, es bastante simple ―pulsar repetidamente la pantalla del dispositivo móvil― los jugadores buscan algo más: la posibilidad de ganar mucho dinero una vez que los creadores de Hamster Kombat revelen la prometida nueva criptomoneda vinculada al juego.
Debido a su éxito, el juego ya ha atraído a innumerables imitaciones que replican su nombre e ícono, con una jugabilidad similar. Por suerte, todos los primeros ejemplos que encontramos no eran maliciosos, pero sí pretendían ganar dinero con los anuncios in-app.
Desafortunadamente, los investigadores de ESET descubrieron que los cibercriminales también han comenzado a sacar provecho de la popularidad de Hamster Kombat.
Exponiendo los riesgos de intentar obtener juegos y software relacionado de fuentes no oficiales, encontramos varias amenazas que abusan de la fama de Hamster Kombat en lugares como malware para Android controlado remotamente distribuido a través de un canal de Telegram no oficial de Hamster Kombat, falsas tiendas de aplicaciones que ofrecen anuncios no deseados y repositorios de GitHub que distribuyen Lumma Stealer para dispositivos Windows mientras afirman ofrecer herramientas de automatización para el juego.
Puntos clave del blogpost:
El éxito de Hamster Kombat atrajo a actores maliciosos que intentan abusar del interés por el juego para obtener beneficios económicos.
Los investigadores de ESET descubrieron un spyware para Android llamado Ratel que se hacía pasar por Hamster Kombat, distribuido a través de un canal no oficial de Telegram.
Los usuarios de Android también son el objetivo de falsas tiendas de aplicaciones que afirman ofrecer el juego, pero en su lugar entregan anuncios no deseados.
Los usuarios de Windows pueden encontrar repositorios de GitHub que ofrecen bots de granja y clickers automáticos que en realidad contienen criptores Lumma Stealer.
¿Qué es Hamster Kombat?
Hamster Kombat es un juego de clicker in-app de Telegram en el que los jugadores ganan moneda ficticia completando tareas sencillas, con incentivos para iniciar sesión en el juego al menos diariamente. Como en otros juegos de clicker para móviles, el modo de juego básico de Hamster Kombat consiste en tocar la pantalla repetidamente para conseguir más puntos en el juego. La figura 1 ilustra la interfaz del juego.
Lanzado en marzo de 2024, Hamster Kombat parece ganar popularidad con bastante rapidez. En junio de 2024, los desarrolladores afirmaron que su juego ya había conseguido alcanzar los 150 millones de usuarios activos. Teniendo en cuenta que esto situaría a Hamster Kombat -un juego dirigido únicamente al subgrupo de jugadores móviles entusiastas de las criptomonedas y disponible sólo a través de Telegram- entre los 20 juegos móviles más jugados de todos los tiempos, la afirmación debe tomarse con cautela. Sin embargo, el juego es indudablemente popular: la cuenta oficial de Hamster Kombat en X tiene más de 10 millones de seguidores, y el canal de anuncios de Hamster Kombat cuenta con más de 50 millones de suscriptores en el momento de la publicación de este blogpost.
Como era de esperar, la principal razón del creciente interés por el Hamster Kombat es el deseo de los jugadores de ganar dinero con el juego: La hoja de ruta de desarrollo del Hamster Kombat incluye planes para lanzar una nueva criptomoneda vinculada al juego. Posteriormente, el token se distribuirá entre los jugadores en función del cumplimiento de determinados criterios, una técnica también conocida como airdrop.
El equipo detrás de Hamster Kombat parece estar tratando de replicar el éxito de otro juego basado en Telegram llamado Notcoin, que en mayo de 2024 introdujo el token NOT en la plataforma blockchain de Telegram The Open Network (TON) y lo lanzó a los jugadores en función de sus puntuaciones en el juego. El lanzamiento del token NOT tuvo mucho éxito, y algunos afirman que fue el mayor lanzamiento de tokens de criptojuegos de 2024 hasta la fecha.
Se supone que la entrega de tokens de Hamster Kombat también utilizará la red TON. Sin embargo, a diferencia de Notcoin, el número de tokens recibidos no dependerá de la puntuación total, sino de otros factores, como el beneficio por hora.
Análisis de la amenaza
Como era de esperar, el éxito de Hamster Kombat también ha atraído a los ciberdelincuentes, que ya han empezado a desplegar malware dirigido a los jugadores del juego. ESET Research ha descubierto amenazas dirigidas tanto a usuarios de Android como de Windows. Los usuarios de Android son objetivo de spyware y falsas tiendas de aplicaciones llenas de anuncios no deseados, mientras que los usuarios de Windows pueden encontrarse con repositorios de GitHub con criptores Lumma Stealer.
Como todo proyecto que promete ganancias a cambio de poco esfuerzo, el juego en sí también está en el radar de expertos en ciberseguridad y funcionarios del gobierno, que advierten sobre los potenciales riesgos financieros que implica jugar. Hasta el momento, ESET no ha visto ninguna actividad maliciosa desde la app original.
Amenazas para Android
Hemos identificado y analizado dos tipos de amenazas dirigidas a usuarios de Android: una aplicación maliciosa que contiene el spyware para Android Ratel y sitios web falsos que se hacen pasar por interfaces de tiendas de aplicaciones y afirman tener Hamster Kombat disponible para su descarga.
El spyware Ratel
Los investigadores de ESET encontraron un canal de Telegram (https://t[.]me/hamster_easy) que distribuía un spyware para Android, llamado Ratel, disfrazado de Hamster Kombat; véase la Figura 2.
Figura 2. Canal de Telegram de HAMSTER EASY compartiendo la app maliciosa; el mensaje
con la descarga de la app resaltado con un rectángulo azul
Este malware es capaz de robar notificaciones y enviar mensajes SMS. Los operadores del malware utilizan esta funcionalidad para pagar suscripciones y servicios con los fondos de la víctima sin que ésta se dé cuenta.
Aunque la aplicación maliciosa utiliza el nombre de Hamster Kombat para atraer a posibles víctimas, no contiene ninguna funcionalidad del juego e incluso carece de interfaz de usuario. Como se muestra en la Figura 3, al iniciarse, la aplicación solicita permiso de acceso a notificaciones y pide que se la establezca como aplicación de SMS predeterminada. Una vez concedidos estos permisos, el malware obtiene acceso a todos los mensajes SMS y es capaz de interceptar todas las notificaciones mostradas.
Figura 3. Solicitudes de acceso maliciosas de Hamster Kombat
A continuación, Ratel inicia la comunicación con su servidor de C&C(http://77.91.124[.]14:260) y, como respuesta, recibe un número de teléfono: véase la Figura 4. ¡A continuación, envía un mensaje SMS con el texto Привет ! Набери мне: logID (traducción: ¡Hola! Llámame) a ese número de teléfono, que muy probablemente pertenece a los operadores del malware.
Figura 4. Comunicación en red
A continuación, los actores de la amenaza son capaces de controlar el dispositivo comprometido a través de SMS: el mensaje del operador puede contener un texto que debe enviarse a un número especificado, o incluso ordenar al dispositivo que llame a ese número. El malware también es capaz de comprobar el saldo actual de la cuenta bancaria de la víctima en el Sberbank Russia enviando un mensaje con el texto баланс (traducción: saldo) al número 900. Lo más probable es que esto se haga con el fin de decidir si los operadores deben perseguir otros escenarios de ataque para acceder a los fondos de la víctima.
Ratel también abusa de los permisos de acceso a notificaciones para ocultar notificaciones de más de 200 apps basándose en una lista codificada (véase el Apéndice para la lista completa). La lista incluye aplicaciones como Telegram, WhatsApp y varias aplicaciones de mensajería SMS. Si el dispositivo afectado recibe una notificación de una aplicación de la lista, la víctima no podrá verla. Ocultarse es la única acción que el malware realiza con estas notificaciones; no se reenvían al servidor de C&C. Lo más probable es que el objetivo de interceptar las notificaciones sea impedir que la víctima descubra los mensajes de confirmación enviados por los servicios de suscripción.
Como se muestra en la Figura 5, en caso de que haya una notificación de una app no incluida en la lista, Ratel permite al usuario verla, al tiempo que la reenvía al servidor de C&C. Creemos que esto podría hacerse para que los operadores puedan comprobar si es necesario añadir una nueva app a la lista.
Figura 5. Notificación filtrada al servidor de C&C
Conclusión
La popularidad de Hamster Kombat lo hace propicio para el abuso, lo que significa que es muy probable que el juego atraiga a más actores maliciosos en el futuro. Aunque muchas aplicaciones imitadoras de Hamster Kombat parecen estar libres de malware, hemos descubierto un troyano controlado remotamente que se distribuye a través de Telegram disfrazado del juego. El malware es capaz de enviar mensajes SMS, realizar llamadas y ocultar sus acciones ocultando notificaciones que podrían sugerir que el dispositivo está comprometido. Aparte del troyano de Android, también encontramos tiendas de aplicaciones falsas que decían ofrecer Hamster Kombat para descargar; los enlaces, sin embargo, a menudo conducen a anuncios no deseados. Por último, en la plataforma Windows, descubrimos repositorios de GitHub que atraen a los jugadores con la promesa de bots de granja y autoclickers de Hamster Kombat pero que, en realidad, sirven a las víctimas con criptores que contienen Lumma Stealer.
Gracias a Anton Cherepanov por sus contribuciones.
En INFORC ECUADOR contamos con servicios, capacitaciones y programas de entrenamiento a los usuarios, para eso te invitamos a concretar una reunión con nuestros especialistas en: https://acortar.link/kWsmT5
Comments