Vulnerabilidad Crítica de Android Puede Robar Tu Frase Semilla de Criptomonedas en 3 Segundos

El laboratorio de seguridad interno de Ledger ha revelado una vulnerabilidad de día cero en el componente WebView de Android que permite a aplicaciones maliciosas en segundo plano extraer una frase de recuperación de 24 palabras de billeteras de software en menos de tres segundos.

Cómo Funciona el Ataque

La vulnerabilidad, denominada Memory-Mirror por los investigadores de Ledger Donjon, explota un error en Android System WebView, el componente que renderiza contenido web dentro de las aplicaciones. Una aplicación maliciosa ejecutándose en segundo plano puede provocar una fuga de memoria que refleja el contenido del espacio de memoria privada de una aplicación de billetera en una caché compartida accesible fuera del límite normal del sandbox.

La arquitectura de sandbox de Android está diseñada para aislar la memoria de cada aplicación de todas las demás aplicaciones del dispositivo. Memory-Mirror evita ese aislamiento bajo condiciones específicas que no son difíciles de crear. Si un usuario introduce su frase de recuperación en cualquier billetera de software mientras una aplicación comprometida se ejecuta en segundo plano, la frase es extraíble desde la caché compartida en tres segundos después de su ingreso. El usuario no ve nada inusual. La aplicación de billetera se comporta normalmente. La frase se ha ido.

El ataque requiere que una aplicación maliciosa ya esté instalada en el dispositivo, lo que reduce considerablemente la barrera dado el volumen de aplicaciones fraudulentas que pasan por los procesos de revisión de las tiendas de aplicaciones y la prevalencia de archivos APK descargados de forma lateral en la comunidad cripto.

El Alcance de la Exposición

Ledger Donjon estima que más del 70% de los dispositivos Android que ejecutan versiones 12 a 15 permanecen vulnerables sin el parche de seguridad de marzo de 2026. Google comenzó a implementar la corrección en dispositivos Pixel el 5 de marzo. Se esperan parches de Samsung y Xiaomi para finales de marzo. Todos los dispositivos Android que no hayan recibido una versión de compilación que termine en .0326 son actualmente susceptibles.

La clasificación de hot wallet de CoinGecko publicada hoy colocó a Trust Wallet en el número uno y a MetaMask en el número dos a nivel mundial. Ambas billeteras han deshabilitado temporalmente la función de importación mediante frase de recuperación en Android hasta que se pueda verificar el estado del parche del dispositivo. Phantom, en el número cuatro de la misma lista, está igualmente afectada. Las tres billeteras móviles no custodias más populares del mundo han suspendido la funcionalidad de importación de frase de recuperación en la plataforma a través de la cual la mayoría de sus usuarios acceden.

Qué Hacer Inmediatamente

Los usuarios de Android que poseen cripto en cualquier billetera de software deben verificar inmediatamente la actualización de seguridad de marzo de 2026. Navegue a Configuración, luego Seguridad o Sistema, luego Actualización de Software, y verifique que la versión de compilación termine en .0326. Si la actualización aún no está disponible del fabricante del dispositivo, trate el dispositivo como comprometido para propósitos de ingreso de frase de recuperación hasta que lo esté.

Las recomendaciones de Ledger van más allá de la aplicación de parches. Introducir una frase de recuperación en cualquier teclado móvil en cualquier billetera de software conlleva un riesgo inherente que existe independientemente de Memory-Mirror. El teclado mismo, los administradores de portapapeles y las aplicaciones de grabación de pantalla representan todos vectores de extracción potenciales que las billeteras de hardware eliminan por diseño. Los dispositivos Ledger Nano y Stax no se ven afectados por Memory-Mirror porque la frase de recuperación nunca sale del chip Secure Element del dispositivo y nunca se expone al sistema operativo Android en ningún momento.

La función de protección contra envenenamiento de direcciones de Trust Wallet cubierta en esta publicación ayer defendió a los usuarios contra un vector de ataque en la capa de transacción. Memory-Mirror opera en un nivel fundamentalmente más profundo, apuntando a la frase de recuperación en sí misma en lugar de una sola transacción. Una frase de recuperación comprometida compromete cada billetera, cada cadena y cada activo derivado de ella permanentemente.

Actualice el dispositivo. No introduzca frases de recuperación en el móvil hasta que se confirme que el parche está instalado.

La publicación Vulnerabilidad Crítica de Android Puede Robar tu Frase de Recuperación Cripto en 3 Segundos apareció primero en ETHNews.