Relatório revela Trojans que roubam frase secreta das carteiras e diz que o Brasil é ‘queridinho dos cibercriminosos’

Levantamento apontou esquema sofisticado que distribui Trojans disfarçados de carteiras; documento mostrou que Brasil e México são os preferidos para o roubo de credenciais dos usuários na América Latina.

Em um relatório anual divulgado recentemente, o “Eset Threat Report 2022”, a empresa de cibersegurança e desenvolvedora de softwares ESET Research revelou   a descoberta do que qualificou como “um esquema sofisticado que distribui aplicativos Trojans (Cavalos de Troia) que se apresentam como carteiras de criptomoedas populares” e que “foram capazes de roubar as frases secretas das vítimas ao se passar por Coinbase, imToken, MetaMask e muito mais.” O documento de 54 páginas afirma ainda que Brasil e México são os países mais visados pelos cibercriminosos para roubar credenciais dos usuários de aplicativos. 

• Jornalista denuncia uso de Bitcoin para disseminação de fake news pró-Bolsonaro e recebe ameaças de morte

De acordo com a empresa, os aplicativos Android e iOS trojanizados se disfarçam de carteiras populares de criptomoedas e são capazes de roubar as frases secretas das vítimas, “representando”, por exemplo, a Coinbase, a imToken, a MetaMask, a Trust Wallet, a Bitpie, a TokenPocket ou a OneKey.

A ESET afirmou no documento que os invasores garantiram que os aplicativos falsos tivessem a mesma funcionalidade dos respectivos originais, inserindo o código malicioso em locais difíceis de detectar, o que foi possível mediante uma análise profunda do código original para a descoberta do ponto do algoritmo onde a frase é gerada e importada pelo usuário. 

Encontramos esses aplicativos sendo promovidos em dezenas de grupos do Telegram, provavelmente criados por seus autores à procura de mais parceiros de distribuição. A partir de outubro de 2021, descobrimos que esses Telegram grupos foram compartilhados e promovidos em pelo menos 56 grupos do Facebook. Também havia dois sites chineses legítimos que encontramos em novembro de 2021 que distribuíam essas carteiras maliciosas.

Preocupantemente, o código-fonte dos aplicativos vazou e foi compartilhado online, o que os ajudará espalhar ainda mais. Os aplicativos maliciosos se comportam de maneira diferente com base no sistema operacional em que estão instalados. Se a versão legítima do aplicativo existe no Android, não pode ser substituída pelo aplicativo falsificado, porque é assinado por um certificado diferente. Apenas novos usuários de criptomoedas sem um legítimo aplicativo de carteira são, portanto, direcionados. No entanto, no iOS, a vítima pode ter tanto o legítimo e o aplicativo malicioso instalado, pois eles não compartilham o mesmo ID de pacote, explicou a ESET. 

• FIAP lança formação voltada para tecnologia blockchain, NFTs e metaverso

O levantamento também revelou que o Brasil e o México lideram a preferência dos cibercriminosos no que se refere a Trojans e Malwares bancários na América Latina, região que é um dos principais alvos mundiais dos golpistas. De acordo com o documento, somente o Grandoreiro, um dos Cavalos de Troia mais ativos nos países latino-americanos, adicionou mais de 900 alvos ao seu portfólio, entre eles exchanges de criptomoedas e jogos de tokens não fungíveis (NFTs).

O crescimento também aconteceu em relação à distribuição, como o Sharkbot, que se disfarça na forma de um aplicativo de segurança no Google Play Store, descoberto pela Check Point. Já a Bitdefender identificou as campanhas de FluBot e TeaBot, que roubam dados via SMS que perguntam “É você nesse vídeo?”. 

• Bitcoin encerra recorde negativo, mas 3 tokens ainda sofrem e perdem até 24% em uma semana: EGLD, LUNC e BIT

Ataques às plataformas

O relatório ainda jogou luz sobre as plataformas de criptomoedas hackeadas para obtenção de lucros significativos, segundo descreveu o documento ao ressaltar que o número de ameaças se relaciona até certo ponto com as taxas cobradas pelas exchanges.

O início do ano viu vários hacks de plataforma de criptomoeda de alto perfil: os usuários da exchange de criptomoedas Crypto.com perderam mais de US$ 30 milhões principalmente em Ethereum e Bitcoin depois que atores maliciosos ignoraram a autenticação de dois fatores do site; a criptomoeda de cadeia cruzada plataforma Wormhole foi hackeada por US$ 326 milhões quando cibercriminosos exploraram uma vulnerabilidade em sua rede; e, finalmente, o marketplace de NFT OpenSea foi mais uma vez alvo de hackers, que conseguiram roubar cerca de US$ 1,7 milhão em tokens digitais em um ataque de phishing, salientou a empresa. 

Segundo a ESET, os “Coinminers”, considerados as subcategorias mais ativas de ameaças de criptomoedas, diminuíram 28,4% entre o terceiro trimestre de 2021 e o primeiro trimestre de 2022, apesar da ocorrência de dois picos menores no número de aplicativos potencialmente indesejados Win/CoinMiner, sendo um surto da variante Agen.D na França no dia 11 de abril e outro no Japão em 20 de abril, quando as variantes TA e SF foram vistas amplamente.

• Ativistas dizem que mineração de Bitcoin consome mais energia que a Suécia e propõem mudança de código na criptomoeda

Em maio as empresas de análise de criptomoedas Etherscan e CoinGecko emitiram paralelamente um alerta contra um ataque de phishing em andamento em suas plataformas.  As investigações dos ataques começaram depois que vários usuários relataram pop-ups incomuns do MetaMask, levando os usuários a conectar suas carteiras de criptomoedas ao site, conforme noticiou o Cointelegraph.

LEIA MAIS:

• Febraban defende que regulação para criptomoedas seja a mesma das instituições bancárias
• Pesquisadores publicam evidências de manipulação de preço de token ChainLink
• Roger Ver declara que Bitcoin Cash é o verdadeiro Bitcoin, as forças do mercado trazem mais atenção