Los ciberdelincuentes utilizan el juego Hamster Kombat para actividades de espionaje y robo de información

 En los últimos meses, el juego de clics de Telegram Hamster Kombat ha causado sensación entre los entusiastas de los juegos de criptomonedas. Como era de esperar, el éxito de Hamster Kombat también ha atraído a los ciberdelincuentes, quienes ya han comenzado a desplegar malware dirigido a los jugadores. El grupo de investigación de ESET, ESET Research, ha descubierto recientemente amenazas que afectan tanto a usuarios de Android como de Windows. Al exponer los riesgos de intentar obtener juegos y software relacionado de fuentes no oficiales, ESET encontró varias amenazas en forma de malware controlado remotamente para Android, distribuido a través de un canal no oficial de Telegram de Hamster Kombat, tiendas de aplicaciones falsas que entregan anuncios no deseados, y repositorios de GitHub que distribuyen ejecutables del infostealer ‘Lumma Stealer’ para dispositivos Windows, mientras afirman ofrecer herramientas de automatización para el juego.

“Aunque la jugabilidad, que en su mayoría consiste en tocar repetidamente la pantalla del dispositivo móvil, puede parecer bastante simple, los jugadores buscan algo más: la posibilidad de ganar mucho cuando los creadores de Hamster Kombat lancen la nueva criptomoneda prometida vinculada al juego. Desafortunadamente, hemos descubierto que los ciberdelincuentes también han comenzado a aprovecharse de la popularidad de Hamster Kombat”, explica Lukáš Štefanko, investigador de ESET que descubrió y analizó las amenazas de Hamster Kombat.

Debido a su éxito, el juego ya ha atraído a numerosos imitadores que replican su nombre e ícono y tienen una jugabilidad similar. Afortunadamente, todos los  ejemplos iniciales encontrados por el equipo de ESET no eran maliciosos, aunque su objetivo sigue siendo ganar dinero a través de anuncios dentro de la aplicación.

ESET ha identificado y analizado dos tipos de amenazas dirigidas a usuarios de Android: una aplicación maliciosa que contiene el spyware Ratel y webs falsas que imitan interfaces de tiendas de aplicaciones, afirmando tener Hamster Kombat disponible para descargar. Los investigadores de ESET también encontraron un canal de Telegram que distribuye el spyware para Android, llamado Ratel, disfrazado de Hamster Kombat. Este malware es capaz de robar notificaciones y enviar mensajes SMS. Los operadores del malware utilizan esta funcionalidad para pagar suscripciones y servicios con los fondos de la víctima, sin que esta se dé cuenta. Al iniciarse, la aplicación solicita permisos de acceso a notificaciones y pide ser configurada como la aplicación de SMS predeterminada. Una vez concedidos estos permisos, el malware obtiene acceso a todos los mensajes SMS y puede interceptar todas las notificaciones mostradas en el dispositivo.

Aunque Hamster Kombat es un juego para móviles, ESET también encontró malware que abusa del nombre del juego propagándose en Windows. Los ciberdelincuentes intentan atraer a los usuarios de Windows con herramientas auxiliares que supuestamente facilitan la maximización de las ganancias dentro del juego. La investigación de ESET reveló repositorios en GitHub que ofrecen farm bots y auto-clickers para Hamster Kombat, herramientas que automatizan los clics en el juego. Sin embargo, estos repositorios en realidad ocultaban el infame ladrón de información ‘Lumma Stealer’. Los repositorios de GitHub encontrados por el equipo de investigadores de ESET tenían el malware disponible directamente o contenían enlaces para descargarlo desde servicios externos de intercambio de archivos. ESET identificó tres versiones diferentes de Lumma Stealer ocultas dentro de estos repositorios.

Lumma Stealer es un ladrón de información ofrecido como malware-as-a-service, disponible para su compra en la dark web y en Telegram. Observado por primera vez en 2022, este malware se distribuye comúnmente a través de software pirata y spam, y tiene como objetivo las carteras de criptomonedas, credenciales de usuario, extensiones de navegador de autenticación de dos factores y otros datos sensibles. Cabe destacar que las capacidades de Lumma Stealer no se abordan en esta investigación, ya que el enfoque está en los archivos que entregan este ladrón de información, no en el propio infostealer.

“La popularidad de Hamster Kombat lo hace propicio para el abuso, lo que significa que es muy probable que el juego atraiga a más actores maliciosos en el futuro”, concluye Štefanko.