Falsas apps de criptomoedas surgem no Google Play

Investigadores da ESET analisaram uma carteira falsa de criptomoedas existente no Google Play numa altura em que se regista um crescimento da bitcoin

Durante o presente mês de maio de 2019, temos vindo a assistir a um aumento do valor da bitcoin, que subiu até ao ponto mais alto desde setembro de 2018. E para surpresa de poucos, também os hackers notaram rapidamente este aumento e começaram a reunir esforços no sentido de atacar utilizadores de criptomoedas mediante golpes e aplicações maliciosas.

Uma destas aplicações maliciosas foi recentemente detetada no Google Play por um utilizador da Reddit, simulando ser a popular carteira de hardware de criptomoedas Trezor e utilizando o nome “Trezor Mobile Wallet”. Nunca tínhamos visto um malware a usar a Trezor e tivemos alguma curiosidade em conhecer as capacidades desta falsa aplicação. Depois de tudo, a Trezor oferece carteiras de hardware que requerem manipulação física e autenticação mediante um PIN ou conhecimento da denominada semente de recuperação para aceder às criptomoedas armazenadas. Restrições similares oferece a sua app oficial: “TREZOR Manager”.

Depois de analisar a falsa aplicação, descobrimos que:

  1. Não pode realizar nenhum dano aos utilizadores da Trezor devido às múltiplas camadas de segurança da Trezor;
  2. Está ligada a uma falsa app de carteira de criptomoedas chamada “Coin Wallet – Bitcoin, Ripple, Ethereum, Tether”, a qual é capaz de enganar os utilizadores mais distraídos sem dinheiro;
  3. Adicionalmente, ambas as aplicações foram criadas sobre o template de uma aplicação que se vende online.

Reportámos a falsa aplicação da Trezor à equipa de segurança da Google e demos conhecimento à Trezor sobre a publicação deste artigo. A Trezor confirmou que a falsa aplicação não representava uma ameaça direta para os seus utilizadores. No entanto, expressaram preocupação sobre os endereços de e-mail vazados através de falsas aplicações como esta, e o facto de poderem ser utilizados para campanhas de phishing dirigidas aos utilizadores da Trezor.

A falsa app da Trezor

Simulando tratar-se uma carteira móvel para a Trezor, a app foi carregada no Google Play a 1 de maio de 2019 sobre o nome de “Trezor Inc” como fabricante, tal como se pode verificar na Figura 1. Geralmente, a página da aplicação no Google Play parece ser fiável – o nome da app, o nome do fabricante, categoria da app, descrição da app e imagens, toda esta informação aparenta ser legítima à primeira vista. No momento da nossa análise, a falsa aplicação aparece mesmo como segundo resultado de pesquisa realizada por “Trezor” no Google Play, logo a seguir à app oficial da Trezor.

Figura 1. A falsa aplicação no Google Play

O que é e o que faz?

No entanto, o convincente engano começa e termina no Google Play. Logo após a instalação, o ícone que aparece no ecrã do utilizador difere daquele que se vê no Google Play, o qual serve como um claro indicador de algo falso. O ícone da aplicação instalada diz “Coin Wallet”, como se pode observar na Figura 2.

Figura 2. O ícone de “Trezor Mobile Wallet” após a instalação

Quando os utilizadores executam a aplicação, um ecrã de registo genérico é exibido, sem mencionar em parte alguma a Trezor, tal como se pode observar na Figura 3. Este é outro indicador de que não estamos perante uma aplicação legítima. Este ecrã genérico é utilizado para roubar credenciais de acesso – embora não esteja totalmente claro quais as credenciais e qual a utilização que os hackers lhes dariam. Da mesma forma, qualquer que seja a informação que o utilizador introduza esses campos, a mesma é enviada para o servidor dos hackers, como se pode observar na Figura 4.

Figura 3. Um ecrã de registo genérico é exibido na aplicação falsa.
Figura 4. As credenciais introduzidas são enviadas para o servidor do hacker

Ainda na Figura 4 verifica-se que o servidor utilizado para roubar credenciais introduzidas através da falsa aplicação da Trezor está alojado na coinwalletinc[.]com. Ao verificar o domínio fomos levados para outra aplicação fraudulenta no seu site web, chamada “Coin Wallet” e “Coin Wallet – Ripple, Ethereum, Tether” no Google Play. Esta aplicação será descrita na secção que se segue deste artigo.

A aplicação Coin Wallet

A app Coin Wallet e a falsa aplicação da Trezor descrita na secção anterior têm muitas coisas em comum – para além de usar o mesmo servidor, também apresentam semelhanças no código e na interface. A app Coin Wallet utiliza o mesmo ícone que vimos desde a instalação à falsa app da Trezor.

No seu site web, a app Coin Wallet é descrita como a “a carteira líder mundial”, como se pode observar na Figura 5.

Figura 5. A apresentação enganosa no seu site web da app Coin Wallet

O site web contém uma ligação ao Google Play, onde a app esteve disponível desde 7 de fevereiro de 2019 até 5 de maio do mesmo ano, sobre o nome de “Coin Wallet – Bitcoin, Ripple, Ethereum, Tether”, como pode ver na Figura 6. Durante esse tempo, a app foi instalada por mais de 1000 utilizadores.

O site web também parece ter um link para a App Store, mas ao clicar no botão “disponível na App Store”, ele apenas redireciona para o URL da imagem em PNG.

Figura 6. A app fraudulenta Coin Wallet no Google Play

O que é e o que faz?

A aplicação diz que permite que os seus utilizadores criem carteiras para várias criptomoedas. No entanto, a sua finalidade é enganar os utilizadores para que transfiram as suas criptomoedas para as carteiras dos hackers – um caso clássico do que chamamos de fraudes de endereços de carteira em investigações de criptomoedas anteriores – que visam o malware.

O esquema funciona fazendo com que a aplicação gere um endereço de carteira exclusivo no qual os utilizadores podem transferir as suas moedas. Na realidade, esta direção pertence à carteira dos hackers, sendo que apenas eles têm a chave privada para aceder a esses fundos. Os hackers possuem uma carteira por cada criptomoeda que suportam – 13 carteiras todas juntas – e todas as vítimas que utilizem qualquer das criptomoedas direcionadas obtém o mesmo endereço de carteira.

Observando o gráfico destes elementos partilhados e a app fraudulenta da Trezor, parece que ambas foram criadas sobre a mesma base. Uma pesquisa no Google por “coinwallet app template” dá-nos um “template de carteira de criptomoeda Android” genérico (“Android cryptocurrency wallet template”) disponível por 40 dólares. O template em si é um ativo benigno que se converte em malicioso nas mãos dos atacantes, porém, vemos aqui como tais ativos podem ser utilizados por mais hackers para criar falsas aplicações de forma rápida e económica.

Como estar protegido

Se a bitcoin mantiver a sua tendência de crescimento, podemos esperar que surjam mais golpes com criptomoedas na loja oficial de aplicações para Android e noutras. Quando instalar aplicações, é importante seguir certos princípios de segurança – sobretudo se houver dinheiro em jogo.

  • Confie apenas em apps financeiras e relacionadas com criptomoedas se aparecer um link para a app do site oficial do serviço;
  • Apenas introduza os seus dados pessoais em formulários online se estiver seguro da sua legitimidade e segurança;
  • Mantenha o seu dispositivo atualizado; 
  • Utilize uma soluçõa de segurança para dispositivos móveis que seja de confiança para bloquear e remover ameaças.

Por Lukas Stefanko

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

20 − 19 =

*