Especialistas em segurança e tecnologia descobriram uma operação em larga escala feita por hackers para roubar criptomoedas. A tática usada envolveu a criação de apps falsos que se parecem com carteiras digitais legítimas. Ao todo, quatro aplicativos foram falsificados: Coinbase (maior corretora de criptomoedas dos Estados Unidos), MetaMask, TokenPocket e imToken.
De acordo com informações da agência de segurança digital Confiant, a atividade criminosa foi detectada em março, tendo sido executada pelo grupo de cibercriminosos denominado SeaFlower.
Os pesquisadores da organização disseram que essa é a ameaça “mais tecnologicamente sofisticada” composta por usuários da web3 —aposta de evolução da internet— desde o grupo Lazarus, outra conhecida comunidade de hackers.
Como o golpe funciona
Para executar o seu golpe, o grupo de cibercriminosos criou o que se chama de “trojans“, ou cavalos de Troia, programas maliciosos que se passam por outros, mas que são desenvolvidos para roubar informações.
O alvo da cópia fake, neste caso, foram apps onde se guardam as criptomoedas compradas pelos usuários. A Confiant informou que os aplicativos são idênticos aos reais, mas que possuem backdoors que permitem o acesso aos hackers.
Vale esclarecer que “backdoor”, em computação, são portas de acessos secretas que permitem a outras pessoas a entrada em softwares —daí o nome em inglês, que quer dizer “porta dos fundos”.
Confundindo as buscas
Para fazer com que proprietários de criptomoedas baixassem os aplicativos falsos, os hackers precisaram antes espalhá-los para o maior número possível deles.
Eles clonaram então sites legítimos dos apps citados, nos quais a única opção de download eram suas falsificações.
O grupo também se utilizou de técnicas de manipulação de sistemas e mecanismos de busca. Assim, por exemplo, quando alguém digitava o nome “Coinbase” em um site como o Google, uma das primeiras páginas que apareciam era o site falso desenvolvido por eles.
Essas técnicas também são chamadas de “SEO poisoning”, ou seja, envenenamento de buscas.
O mecanismo de pesquisas mais atingido foi o Baidu, que tem grande público na China, sendo o mais usado no país. Pela linguagem presente no código de programação e por mirar principalmente em serviços chineses, acredita-se que o SeaFlower esteja baseado na China.
Os pesquisadores da Confiant encontraram também esses aplicativos falsos sendo promovidos em canais de mídias sociais, fóruns e “malvertising”, nome que se dá à publicidade online maliciosa, criada com o intuito de enganar e fazer o usuário clicar nela.
Dá para se proteger?
Para entender como o SeaFlower criou uma operação tão sofisticada, os funcionários da Confiant fizeram engenharia reversa nos aplicativos fake, encontrando código de programação similar em todos eles.
Essa operação permitiu a eles entenderem que as técnicas usadas foram muito cuidadosas e levaram tempo de estudo por parte dos hackers.
Segundo a agência, a única maneira de se proteger desse tipo de golpe é se certificar de que os apps de carteiras digitais utilizados são os oficiais. Para isso, é preciso baixá-los nos sites oficiais dos seus desenvolvedores, bem como nas lojas de aplicativos oficiais, como a App Store para dispositivos Apple e a Play Store para dispositivos Android.
*Com informações do site Bleeping Computer
Hackers criaram aplicativos falsos que se parecem com carteiras digitais legítimas para roubar criptomoedas.
