Falso app da Coinbase tenta roubar frase secreta de carteiras digitais

No início de agosto, uma página foi denunciada por estar se passando pelo site oficial da Coinbase. Embora a URL do site, que já foi desativada, não tivesse um certificado HTTPS, o design era uma cópia quase perfeita do oficial. Além disso, vários links redirecionavam para a página legítima, exceto o link para baixar o aplicativo

Compartilhar:

O roubo de criptomoedas por ciberataques de janeiro a julho de 2022 já soma o valor de US$ 1,9 bilhão, um aumento de 60% em relação ao mesmo período do ano anterior, de acordo com a empresa de análise de blockchain Chainalysis. Recentemente, a ESET, alertou sobre uma campanha que tinha como alvo usuários de Android e iOS com aplicativos trojanizados que se passavam por carteiras legítimas. Desta vez, o alvo são os usuários da Coinbase, uma plataforma de negociação de criptomoedas.

 

No início de agosto, uma página foi denunciada por estar se passando pelo site oficial da Coinbase. Embora a URL do site, que já foi desativada, não tivesse um certificado HTTPS, o design era uma cópia quase perfeita do oficial. Além disso, vários links redirecionavam para a página legítima, exceto o link para baixar o aplicativo.

 

O site falso oferece a opção para baixar o aplicativo Coinbase. apk diretamente, sem redirecionar o usuário para o Google Play. Por outro lado, no site oficial a opção de baixar o aplicativo da carteira redireciona o usuário para a Google Play Store.

 

“Este aplicativo é uma versão trojanizada da carteira Coinbase e está contido em um pacote que usa o mesmo nome do aplicativo oficial, que é ‘org. toshi’. Ao analisar, observamos que a funcionalidade do aplicativo malicioso é ofuscada com funções “Virbox”. Uma vez revelada, observamos que essa atividade principal realiza uma verificação da arquitetura do dispositivo para determinar qual variante baixa a funcionalidade maliciosa”, explica Sol Gonzalez, pesquisadora de Segurança da Informação da ESET na América Latina.

 

Ao fazer a análise dinâmica do aplicativo, a equipe da ESET observou que ele funciona da mesma forma que o app oficial da Coinbase. No entanto, o aplicativo malicioso oferece a opção para o usuário fazer login inserindo a frase semente da carteira. Depois de inserir o código, ele pede para criar um nome de usuário junto com uma chave numérica. Ao ter acesso à frase semente, um invasor pode obter os dados e redirecionar todos os fundos da vítima para sua carteira.

 

A frase semente é, dependendo do aplicativo de carteira selecionado, um conjunto entre 12 e 24 palavras. Seu principal objetivo é fornecer controle de segurança extra aos usuários, já que em caso de necessidade de instalar a carteira em outro dispositivo você só precisa lembrar a frase semente. No entanto, como acontece muitas vezes no campo digital, isso tem um risco: que alguém roube essa senha.

 

“Estamos vendo cada vez mais campanhas de phishing projetadas para distribuir aplicativos maliciosos e extensões de navegador que buscam roubar informações. Principalmente campanhas que incluem links para sites falsos que se passam por vários desses serviços de carteira de criptomoedas com o objetivo de roubar a frase semente ou chave de recuperação.”, acrescenta Gonzalez.

 

Para evitar ser vítima de golpes, a ESET compartilha algumas dicas para ter em mente:

 

• Não instale aplicativos de sites não oficiais;

• Esteja atento aos URLs. Verifique se é o site oficial e não uma imitação;

• Não compartilhe a frase semente, pois há grandes chances de que ela vaze e que alguém roube seus bens;

• Cuidado com as oportunidades de investimento que prometem alta rentabilidade;

• Instale uma solução de segurança anti-malware em seu dispositivo.

 

 

Conteúdos Relacionados

Security Report | Overview

Ransomware cai 26% no Brasil, mas país segue como maior vítima na América Latina

Mesmo com queda de 26% se comparado a 2023, o país apresenta mais de 487 mil detecções de ransomware no...
Security Report | Overview

Como harmonizar benefícios e vulnerabilidades da multinuvem no Brasil?

Enquanto, em um lado, as estratégias de multicloud podem ajudar empresas a otimizar seus negócios de forma visível, caso não...
Security Report | Overview

Outubro da Cibersegurança: Fatores humanos seguem como maiores riscos

Na atualidade, o erro humano é o que tem levado a mais ocorrências de violação cibernética nas empresas
Security Report | Overview

Exército Brasileiro coordena nova edição do Guardião Cibernético

Evento é o maior exercício cibernético do Hemisfério Sul e permitem que Forças Armadas, órgãos parceiros e representantes de infraestruturas...