O roubo de criptomoedas por ciberataques de janeiro a julho de 2022 já soma o valor de US? 1,9 bilhão, um aumento de 60% em relação ao mesmo período do ano anterior, de acordo com a empresa de análise de blockchain Chainalysis. Recentemente, a ESET, uma empresa líder em detecção proativa de ameaças, alertou sobre uma campanha que tinha como alvo usuários de Android e iOS com aplicativos trojanizados que se passavam por carteiras legítimas. Desta vez, o alvo são os usuários da Coinbase, uma plataforma de negociação de criptomoedas.
No início de agosto, uma página foi denunciada por estar se passando pelo site oficial da Coinbase. Embora a URL do site, que já foi desativada, não tivesse um certificado HTTPS, o design era uma cópia quase perfeita do oficial. Além disso, vários links redirecionavam para a página legítima, exceto o link para baixar o aplicativo.
 |
Site oficial da Coinbase
 |
Site falso da Coinbase
O site falso oferece a opção para baixar o aplicativo Coinbase. apk diretamente, sem redirecionar o usuário para o Google Play.
 |
Download de aplicativo malicioso da Coinbase. apk
Por outro lado, no site oficial a opção de baixar o aplicativo da carteira redireciona o usuário para a Google Play Store:
 |
Site oficial da Coinbase e download de carteira
“Este aplicativo é uma versão trojanizada da carteira Coinbase e está contido em um pacote que usa o mesmo nome do aplicativo oficial, que é ‘org. toshi’. Ao analisar, observamos que a funcionalidade do aplicativo malicioso é ofuscada com funções “Virbox”. Uma vez revelada, observamos que essa atividade principal realiza uma verificação da arquitetura do dispositivo para determinar qual variante baixa a funcionalidade maliciosa”, explica Sol Gonzalez, pesquisadora de Segurança da Informação da ESET na América Latina.
Ao fazer a análise dinâmica do aplicativo, a equipe da ESET observou que ele funciona da mesma forma que o app oficial da Coinbase. No entanto, o aplicativo malicioso oferece a opção para o usuário fazer login inserindo a frase semente da carteira. Depois de inserir o código, ele pede para criar um nome de usuário junto com uma chave numérica. Ao ter acesso à frase semente, um invasor pode obter os dados e redirecionar todos os fundos da vítima para sua carteira.
 |
Aplicativo malicioso solicitando a frase semente
 |
Aplicativo malicioso após inserir a frase semente
A frase semente é, dependendo do aplicativo de carteira selecionado, um conjunto entre 12 e 24 palavras. Seu principal objetivo é fornecer controle de segurança extra aos usuários, já que em caso de necessidade de instalar a carteira em outro dispositivo você só precisa lembrar a frase semente. No entanto, como acontece muitas vezes no campo digital, isso tem um risco: que alguém roube essa senha.
“Estamos vendo cada vez mais campanhas de phishing projetadas para distribuir aplicativos maliciosos e extensões de navegador que buscam roubar informações. Principalmente campanhas que incluem links para sites falsos que se passam por vários desses serviços de carteira de criptomoedas com o objetivo de roubar a frase semente ou chave de recuperação.”, acrescenta Gonzalez.
Para evitar ser vítima de golpes, a ESET compartilha algumas dicas para ter em mente:
- Não instale aplicativos de sites não oficiais;
- Esteja atento aos URLs. Verifique se é o site oficial e não uma imitação;
- Não compartilhe a frase semente, pois há grandes chances de que ela vaze e que alguém roube seus bens;
- Cuidado com as oportunidades de investimento que prometem alta rentabilidade;
- Instale uma solução de segurança anti-malware em seu dispositivo.
