Malware em Google Play expõe usuários a ataques de seed phrases
São Paulo — InkDesign News — Recentemente, uma investigação realizada pela empresa de inteligência em ameaças Cyble revelou uma campanha de ataques direcionados a usuários de criptomoedas, através da Google Play Store, envolvendo mais de 20 aplicativos Android maliciosos.
Incidente e vulnerabilidade
Os aplicativos fraudulentos, disfarçados como wallets de criptomoedas confiáveis como SushiSwap, PancakeSwap, Hyperliquid e Raydium, têm como objetivo a coleta de frases mnemônicas de 12 palavras, que são as chaves que desbloqueiam os fundos em criptomoedas dos usuários. As interfaces destes aplicativos imitam carteiras legítimas, enganar usuários a inserir frases de recuperação sensíveis. Com esta informação, os atacantes podem acessar as verdadeiras carteiras e esvaziá-las. De acordo com o relato de Cyble, muitos desses aplicativos operam sob contas de desenvolvedores que anteriormente hospedavam aplicativos genuínos, incluindo games e ferramentas de streaming.
Impacto e resposta
O impacto da campanha é significativo, pois muitos usuários estão expostos a fraudes que podem resultar na perda irreversível de seus ativos digitais. A Google agiu para remover diversos aplicativos após o relatório de Cyble, mas vários ainda permanecem ativos na loja, aguardando remoção. O documento de Cyble detalha que as aplicações maliciosas se utilizam de um framework de desenvolvimento chamado “Median framework” para converter rapidamente websites de phishing em aplicativos Android, carregando diretamente essas páginas de phishing em uma janela WebView. Cyble observou que um domínio de phishing estava associado a mais de 50 domínios semelhantes, indicando uma coordenação estrutural na campanha.
Mitigações recomendadas
Por conta da gravidade da situação, são recomendadas as seguintes práticas de mitigação: ativação do Google Play Protect para identificar aplicativos potencialmente nocivos; implementação de autenticação biométrica e dois fatores onde disponível; além de evitar o download de aplicativos desnecessários. É essencial que os usuários estejam atentos a sinais de alerta, como baixas contagens de avaliações ou links estranhos nas políticas de privacidade. Uma recomendação crucial é nunca inserir a frase de 12 palavras em qualquer aplicativo ou website a menos que a legitimidade do sistema seja confirmada.
Os usuários devem permanecer vigilantes e adotar medidas proativas para proteger suas informações.
(“Users must remain vigilant and adopt proactive measures to protect their information.”)— Anônimo, Especialista em Segurança, Cyble
O ataque evidencia a vulnerabilidade do espaço cripto, que permanece suscetível a tais campanhas por meio de canais oficiais, como as lojas de aplicativos. À medida que as plataformas trabalham para conter as solicitações maliciosas, os usuários continuam sendo os principais alvos dessas ameaças cibernéticas. Portanto, a adoção de práticas de segurança digital se torna imprescindível.
Uma vez que uma carteira é esvaziada, os fundos são quase impossíveis de recuperar.
(“Once a wallet is drained, the funds are nearly impossible to recover.”)— Especialista, Cyble
Fonte: (Hack Read – Segurança Cibernética)
