Investigadores da ESET analisaram uma carteira falsa de criptomoedas existente no Google Play numa altura em que se regista um crescimento da bitcoin
Durante o presente mês de maio de 2019, temos vindo a assistir a um aumento do valor da bitcoin, que subiu até ao ponto mais alto desde setembro de 2018. E para surpresa de poucos, também os hackers notaram rapidamente este aumento e começaram a reunir esforços no sentido de atacar utilizadores de criptomoedas mediante golpes e aplicações maliciosas.
Uma destas aplicações maliciosas foi recentemente detetada no Google Play por um utilizador da Reddit, simulando ser a popular carteira de hardware de criptomoedas Trezor e utilizando o nome “Trezor Mobile Wallet”. Nunca tínhamos visto um malware a usar a Trezor e tivemos alguma curiosidade em conhecer as capacidades desta falsa aplicação. Depois de tudo, a Trezor oferece carteiras de hardware que requerem manipulação física e autenticação mediante um PIN ou conhecimento da denominada semente de recuperação para aceder às criptomoedas armazenadas. Restrições similares oferece a sua app oficial: “TREZOR Manager”.
Depois de analisar a falsa aplicação, descobrimos que:
- Não pode realizar nenhum dano aos utilizadores da Trezor devido às múltiplas camadas de segurança da Trezor;
- Está ligada a uma falsa app de carteira de criptomoedas chamada “Coin Wallet – Bitcoin, Ripple, Ethereum, Tether”, a qual é capaz de enganar os utilizadores mais distraídos sem dinheiro;
- Adicionalmente, ambas as aplicações foram criadas sobre o template de uma aplicação que se vende online.
Reportámos a falsa aplicação da Trezor à equipa de segurança da Google e demos conhecimento à Trezor sobre a publicação deste artigo. A Trezor confirmou que a falsa aplicação não representava uma ameaça direta para os seus utilizadores. No entanto, expressaram preocupação sobre os endereços de e-mail vazados através de falsas aplicações como esta, e o facto de poderem ser utilizados para campanhas de phishing dirigidas aos utilizadores da Trezor.
A falsa app da Trezor
Simulando tratar-se uma carteira móvel para a Trezor, a app foi carregada no Google Play a 1 de maio de 2019 sobre o nome de “Trezor Inc” como fabricante, tal como se pode verificar na Figura 1. Geralmente, a página da aplicação no Google Play parece ser fiável – o nome da app, o nome do fabricante, categoria da app, descrição da app e imagens, toda esta informação aparenta ser legítima à primeira vista. No momento da nossa análise, a falsa aplicação aparece mesmo como segundo resultado de pesquisa realizada por “Trezor” no Google Play, logo a seguir à app oficial da Trezor.
O que é e o que faz?
No entanto, o convincente engano começa e termina no Google Play. Logo após a instalação, o ícone que aparece no ecrã do utilizador difere daquele que se vê no Google Play, o qual serve como um claro indicador de algo falso. O ícone da aplicação instalada diz “Coin Wallet”, como se pode observar na Figura 2.
Quando os utilizadores executam a aplicação, um ecrã de registo genérico é exibido, sem mencionar em parte alguma a Trezor, tal como se pode observar na Figura 3. Este é outro indicador de que não estamos perante uma aplicação legítima. Este ecrã genérico é utilizado para roubar credenciais de acesso – embora não esteja totalmente claro quais as credenciais e qual a utilização que os hackers lhes dariam. Da mesma forma, qualquer que seja a informação que o utilizador introduza esses campos, a mesma é enviada para o servidor dos hackers, como se pode observar na Figura 4.
Ainda na Figura 4 verifica-se que o servidor utilizado para roubar credenciais introduzidas através da falsa aplicação da Trezor está alojado na coinwalletinc[.]com. Ao verificar o domínio fomos levados para outra aplicação fraudulenta no seu site web, chamada “Coin Wallet” e “Coin Wallet – Ripple, Ethereum, Tether” no Google Play. Esta aplicação será descrita na secção que se segue deste artigo.
A aplicação Coin Wallet
A app Coin Wallet e a falsa aplicação da Trezor descrita na secção anterior têm muitas coisas em comum – para além de usar o mesmo servidor, também apresentam semelhanças no código e na interface. A app Coin Wallet utiliza o mesmo ícone que vimos desde a instalação à falsa app da Trezor.
No seu site web, a app Coin Wallet é descrita como a “a carteira líder mundial”, como se pode observar na Figura 5.
O site web contém uma ligação ao Google Play, onde a app esteve disponível desde 7 de fevereiro de 2019 até 5 de maio do mesmo ano, sobre o nome de “Coin Wallet – Bitcoin, Ripple, Ethereum, Tether”, como pode ver na Figura 6. Durante esse tempo, a app foi instalada por mais de 1000 utilizadores.
O site web também parece ter um link para a App Store, mas ao clicar no botão “disponível na App Store”, ele apenas redireciona para o URL da imagem em PNG.
O que é e o que faz?
A aplicação diz que permite que os seus utilizadores criem carteiras para várias criptomoedas. No entanto, a sua finalidade é enganar os utilizadores para que transfiram as suas criptomoedas para as carteiras dos hackers – um caso clássico do que chamamos de fraudes de endereços de carteira em investigações de criptomoedas anteriores – que visam o malware.
O esquema funciona fazendo com que a aplicação gere um endereço de carteira exclusivo no qual os utilizadores podem transferir as suas moedas. Na realidade, esta direção pertence à carteira dos hackers, sendo que apenas eles têm a chave privada para aceder a esses fundos. Os hackers possuem uma carteira por cada criptomoeda que suportam – 13 carteiras todas juntas – e todas as vítimas que utilizem qualquer das criptomoedas direcionadas obtém o mesmo endereço de carteira.
Observando o gráfico destes elementos partilhados e a app fraudulenta da Trezor, parece que ambas foram criadas sobre a mesma base. Uma pesquisa no Google por “coinwallet app template” dá-nos um “template de carteira de criptomoeda Android” genérico (“Android cryptocurrency wallet template”) disponível por 40 dólares. O template em si é um ativo benigno que se converte em malicioso nas mãos dos atacantes, porém, vemos aqui como tais ativos podem ser utilizados por mais hackers para criar falsas aplicações de forma rápida e económica.
Como estar protegido
Se a bitcoin mantiver a sua tendência de crescimento, podemos esperar que surjam mais golpes com criptomoedas na loja oficial de aplicações para Android e noutras. Quando instalar aplicações, é importante seguir certos princípios de segurança – sobretudo se houver dinheiro em jogo.
- Confie apenas em apps financeiras e relacionadas com criptomoedas se aparecer um link para a app do site oficial do serviço;
- Apenas introduza os seus dados pessoais em formulários online se estiver seguro da sua legitimidade e segurança;
- Mantenha o seu dispositivo atualizado;
- Utilize uma soluçõa de segurança para dispositivos móveis que seja de confiança para bloquear e remover ameaças.
Por Lukas Stefanko