Primeiro malware clipper descoberto no Google Play

Os ladrões de criptomoeda que substituem um endereço de carteira na área de transferência já não estão limitados ao Windows ou às mais sombrias lojas de aplicações Android.

Por razões de segurança, os endereços das carteiras on-line de criptomoeda são compostos por longas sequências de caracteres. Em vez de digitá-los, os utilizadores tendem a copiar e colar os endereços utilizando a área de transferência. Um tipo de malware, conhecido como “clipper”, aproveita-se disso. Ele intercepta o conteúdo da área de transferência e substitui o mesmo de forma dissimulada com o que o hacker quer subverter. No caso de uma transação de criptomoeda, o utilizador afetado pode acabar com o endereço copiado da sua carteira mudando silenciosamente para uma pertencente ao invasor.

Esta perigosa forma de malware apareceu pela primeira vez em 2017 em plataforma Windows e foi detetada em lojas não confiáveis de aplicações para Android no verão de 2018. Já em fevereiro de 2019, descobrimos um clipper malicioso no Google Play, a loja de aplicações oficial do Android.

Embora relativamente recente, os roubos de criptomoeda que dependem da alteração do conteúdo da área de transferência podem ser considerados malware. Investigadores da ESET descobriram um hospedado em download.cnet.com, um dos sites de hosting de software mais populares do mundo. Em agosto de 2018, o primeiro clipper Android estava à venda em fóruns de hackers e, desde então, este malware foi detetado em várias lojas não confiáveis.

Copiar e roubar

O clipper que encontrámos à espreita no Google Play, detetado pelas soluções de segurança ESET como Android/Clipper.C, representa um serviço legítimo denominado de MetaMask. A principal finalidade do malware é roubar as credenciais e chaves privadas da vítima de forma a conseguir controlar os seus fundos Ethereum. Contudo, também pode substituir o endereço da carteira de Bitcoin ou Ethereum copiada para a área de transferência por outro pertencente ao invasor.

Figura 1 – O Android/Clipper.C a agir em nome da MetaMask no Google Play

Observámos o Android/Clipper.C assim que foi introduzido na loja oficial do Android, a 1 de fevereiro de 2019. Reportámos o que descobrimos à equipa de segurança do Google Play, que removeu a aplicação da loja.

Este ataque tem como alvo os utilizadores que pretendem usar a versão para dispositivos móveis do serviço MetaMask, que foi concebido para executar no browser apps descentralizadas de Ethereum, sem precisar executar um node Ethereum completo. No entanto, e atualmente, o serviço não oferece uma aplicação móvel – apenas complementos para browsers de desktop, tais como o Chrome e o Firefox.

Não é primeira vez que aplicações maliciosas aparecem no Google Play como se tratando da MetaMask. O objetivos é sempre o mesmo, obter credenciais que permitamo acesso a fundos de criptomoeda das vítimas.

Dicas de segurança

A deteção de malware clipper no Google Play serve também como alerta para a necessidade de utilizadores de Android seguirem as melhores práticas de segurança também nos seus equipamentos móveis.

Para se manter seguro contra clippers e outros malware Android, aconselhamos:

  • Mantenha o seu dispositivo Android atualizado e utilize uma solução de segurança de confiança
  • Faça o download das suas aplicações no Google Play…
  • … no entanto, verifique sempre o site oficial do fabricante da aplicação ou do fornecedor de serviços para obter o link para a aplicação oficial. Se não existir, considere isso um aviso e seja muito cauteloso com o resultado de qualquer pesquisa realizada no Google Play que possa seguir-se
  • Verifique com muita atenção cada passo em todas as transações que envolvam algo valioso, desde credenciais a dinheiro. Quando utilizar a área de transferência, verifique se o que lá coloca é o que realmente pretende. 

Indicadores de Compromisso (IoCs)

BTC address: 17M66AG2uQ5YZLFEMKGpzbzh4F1EsFWkmA

ETH address: 0xfbbb2EF692B5101f16d3632f836461904C761965

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

*