Bandidos clonam carteiras de criptomoedas para aplicar golpes
Por Felipe Demartini | Editado por Claudio Yuge | 14 de Junho de 2022 às 17h20
Uma operação citada como altamente sofisticada envolve a clonagem de carteiras populares de criptomoedas para roubo de credenciais de acesso e, posteriormente, fundos dos usuários. Na mira, estão serviços conhecidos como Coinbase, MetaMask, TokenPocket e imToken, em uma campanha maliciosa que está acontecendo desde março a partir, principalmente, de mecanismos de busca e anúncios.
- Golpes com criptomoedas crescem 3894% em dois anos
- 10 dicas para proteger suas criptomoedas de roubos e golpes
Pesquisadores em segurança digital da Confiant batizaram a operação de SeaFlower e a rastrearam a um grupo que parece ter origem chinesa, já que partes do código estão nesse idioma, assim como elementos da infraestrutura que suporta o golpe. A presença constante em mecanismos de busca como o Baidu também indica isso, apesar de outras ferramentas também serem usadas para as tarefas de envenenamento de SEO e compra de anúncios fraudulentos, de forma a induzir os usuários ao download das carteiras falsas.
Tanto no iOS quanto no Android, o golpe funciona de maneira semelhante, com o recurso de captura da seed phrase, usada para acesso à carteira, servindo como gatilho para captura e upload das credenciais. Os domínios usados para recebimento de dados também foram criados para simularem os oficiais, com nomes semelhantes aos de fabricantes ou carteiras legítimas, escapando a um monitoramento descuidado da movimentação na rede.
No caso do sistema operacional do Google, a backdoor usada está no próprio código da aplicação falsa, baixada também a partir de sites que simulam os oficiais. Já no iOS, os bandidos utilizam um sistema de perfis de provisão, usado para desenvolvimento de aplicações, para carregar as aplicações maliciosas por fora da loja oficial da Apple, bem como arquivos de configuração que, novamente, permitem a ativação assim que o usuário cria uma nova carteira ou insere a seed phrase de recursos já existentes.
Uma vez obtida, a frase de segurança dá acesso a todos os recursos e ativos de uma carteira, permitindo que os criminosos limpem os fundos possuídos por um usuário. A Confiant não estima um número de vítimas e, além de apontar sites como principal vetor de disseminação, também fala em redes sociais e apps de mensagens como um caminho secundário.
Como se proteger de golpes com carteiras de criptomoedas
Baixar aplicações somente de lojas oficiais e a partir dos perfis de desenvolvedores certificados é o melhor caminho para defesa contra golpes assim, tanto no iOS quanto no Android. Observe comentários, números de download e os responsáveis pelas aplicações antes de iniciar o download para ter a certeza de que a solução realmente é o que promete.
Além disso, o cuidado deve ser redobrado na hora de realizar buscas ou clicar em links provenientes de anúncios ou destaques em mecanismos do tipo. No iOS, ainda, os usuários devem prestar atenção em pedidos de instalação de perfis de provisão, que só devem ser aceitos se forem legítimos.
Fonte: Bleeping Computer