Um conjunto de 26 aplicativos maliciosos na Apple App Store se passava por carteiras populares, como Metamask, Coinbase, Trust Wallet e OneKey, com o objetivo de roubar frases de recuperação, ou seed phrases, e esvaziar os ativos em criptomoedas das vítimas.
O grupo por trás da ameaça usou diferentes técnicas para imitar produtos oficiais, incluindo typosquatting e falsificação de marca, a fim de induzir usuários na China a baixar os apps.
Como esse tipo de aplicativo é restrito no país, o invasor os publicou como jogos ou calculadoras, provavelmente na tentativa de fazê-los parecer uma forma de contornar as proibições locais.
Pesquisadores da Kaspersky afirmam que os 26 aplicativos falsos fazem parte da mesma campanha, batizada de FakeWallet, e os associam à operação SparkKitty, em andamento desde o ano passado.
Depois de abertos, os apps redirecionam os usuários para páginas de phishing projetadas para parecer portais legítimos de serviços de criptomoedas.
Esses sites convencem as vítimas a baixar carteiras trojanizadas usando perfis de provisionamento do iOS, um recurso legítimo voltado a empresas, mas abusado para instalar malware fora da App Store nos dispositivos.
A mesma técnica já havia sido observada no SparkKitty.
Os apps trojanizados contêm código adicional que intercepta frases mnemônicas durante as telas de configuração ou recuperação da carteira, criptografa essas informações com RSA e Base64 e as envia ao invasor.
No caso de cold wallets, como a Ledger, os criminosos recorrem a prompts de phishing dentro do aplicativo, enganando o usuário para que digite manualmente sua seed phrase em falsas telas de verificação de segurança.
Essas frases, que só deveriam estar nas mãos do verdadeiro proprietário da carteira, são usadas para migrar ou recuperar a conta em novos dispositivos e não exigem confirmação adicional nem senhas.
Com isso, os agentes maliciosos conseguem restaurar a carteira da vítima em seus próprios dispositivos e esvaziá-la sem possibilidade de recuperação dos fundos.
A Kaspersky observou que a campanha mira principalmente usuários na China.
No entanto, o malware não possui restrições geográficas, o que significa que ele pode atingir usuários em qualquer lugar caso os operadores decidam ampliar o alcance da operação.
Para holders de criptomoedas, a recomendação é verificar com atenção o nome do desenvolvedor dos aplicativos baixados, mesmo em lojas oficiais, e utilizar apenas links fornecidos no site oficial.
Na semana passada, foi revelado que um aplicativo falso da Ledger, aprovado na Apple App Store, roubou US$ 9,5 milhões em criptomoedas de 50 usuários de macOS.
Após a divulgação responsável feita pela Kaspersky, a Apple removeu os 26 aplicativos da campanha FakeWallet da App Store.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...