Topo

Carteiras digitais são clonadas para roubar criptomoedas; veja apps usados

Getty Images
Imagem: Getty Images

Aurélio Araújo

Colaboração com Tilt, de São Paulo

14/06/2022 17h45Atualizada em 30/06/2022 12h07

Especialistas em segurança e tecnologia descobriram uma operação em larga escala feita por hackers para roubar criptomoedas. A tática usada envolveu a criação de apps falsos que se parecem com carteiras digitais legítimas. Ao todo, quatro aplicativos foram falsificados: Coinbase (maior corretora de criptomoedas dos Estados Unidos), MetaMask, TokenPocket e imToken.

De acordo com informações da agência de segurança digital Confiant, a atividade criminosa foi detectada em março, tendo sido executada pelo grupo de cibercriminosos denominado SeaFlower.

Os pesquisadores da organização disseram que essa é a ameaça "mais tecnologicamente sofisticada" composta por usuários da web3 —aposta de evolução da internet— desde o grupo Lazarus, outra conhecida comunidade de hackers.

Como o golpe funciona

Para executar o seu golpe, o grupo de cibercriminosos criou o que se chama de "trojans", ou cavalos de Troia, programas maliciosos que se passam por outros, mas que são desenvolvidos para roubar informações.

O alvo da cópia fake, neste caso, foram apps onde se guardam as criptomoedas compradas pelos usuários. A Confiant informou que os aplicativos são idênticos aos reais, mas que possuem backdoors que permitem o acesso aos hackers.

Vale esclarecer que "backdoor", em computação, são portas de acessos secretas que permitem a outras pessoas a entrada em softwares —daí o nome em inglês, que quer dizer "porta dos fundos".

Confundindo as buscas

Para fazer com que proprietários de criptomoedas baixassem os aplicativos falsos, os hackers precisaram antes espalhá-los para o maior número possível deles.

Eles clonaram então sites legítimos dos apps citados, nos quais a única opção de download eram suas falsificações.

O grupo também se utilizou de técnicas de manipulação de sistemas e mecanismos de busca. Assim, por exemplo, quando alguém digitava o nome "Coinbase" em um site como o Google, uma das primeiras páginas que apareciam era o site falso desenvolvido por eles.

Essas técnicas também são chamadas de "SEO poisoning", ou seja, envenenamento de buscas.

O mecanismo de pesquisas mais atingido foi o Baidu, que tem grande público na China, sendo o mais usado no país. Pela linguagem presente no código de programação e por mirar principalmente em serviços chineses, acredita-se que o SeaFlower esteja baseado na China.

Os pesquisadores da Confiant encontraram também esses aplicativos falsos sendo promovidos em canais de mídias sociais, fóruns e "malvertising", nome que se dá à publicidade online maliciosa, criada com o intuito de enganar e fazer o usuário clicar nela.

Dá para se proteger?

Para entender como o SeaFlower criou uma operação tão sofisticada, os funcionários da Confiant fizeram engenharia reversa nos aplicativos fake, encontrando código de programação similar em todos eles.

Essa operação permitiu a eles entenderem que as técnicas usadas foram muito cuidadosas e levaram tempo de estudo por parte dos hackers.

Segundo a agência, a única maneira de se proteger desse tipo de golpe é se certificar de que os apps de carteiras digitais utilizados são os oficiais. Para isso, é preciso baixá-los nos sites oficiais dos seus desenvolvedores, bem como nas lojas de aplicativos oficiais, como a App Store para dispositivos Apple e a Play Store para dispositivos Android.

*Com informações do site Bleeping Computer