Falso app da Coinbase é capaz de esvaziar carteiras de usuários

A ESET, empresa especializada em detecção proativa de ameaças, alertou sobre uma campanha maliciosa que utiliza falsos aplicativos infectados por trojans para usuários do Android e iOS que se passavam por carteiras legítimas de ativos digitais. As vítimas do momento são usuários da Coinbase, plataforma de negociação de criptomoedas.

Conforme identificado, o golpe foi elaborado por uma campanha de phishing que levava os usuários para uma página idêntica ao site oficial da Coinbase, desenvolvida pelos cibercriminosos. O site – que já foi desativado – contava com vários links que redirecionam para o endereço oficial da plataforma, exceto o link para baixar o aplicativo.

Leia mais:

• Gov.br apresenta instabilidade; INSS, Conecte SUS e Carteira de Trabalho ficam indisponíveis
• Crimes digitais se tornam mais sofisticados e empresas precisam se preparar
• Ataques cibernéticos são causados por meio de aparelhos caseiros e softwares de trabalho

No link disponível no falso site, os malfeitores promoviam o download do “Coinbase.apk”,  o aplicativo malicioso responsável por roubar respostas da frase secreta dos usuários. 

Já o link para baixar o aplicativo no site legítimo da Coinbase redireciona o usuário para realizar o download por meio da Google Play Store e App Store. 

“Este aplicativo é uma versão infectada da carteira Coinbase e está contido em um pacote que usa o mesmo nome do aplicativo oficial, que é ‘org.toshi’. Ao analisar, observamos que a funcionalidade do aplicativo malicioso é ofuscada com funções “Virbox”. Uma vez revelada, vimos que a atividade principal realiza uma verificação da arquitetura do dispositivo para determinar qual variante baixa a funcionalidade maliciosa”, explica Sol Gonzalez, pesquisadora de Segurança da Informação da ESET na América Latina.

Depois de baixado no celular, o Coinbase.apk (malicioso) funcionava igual ao aplicativo legítimo, exceto pelo fato que no falso aplicativo era solicitado que o usuário fizesse o login inserindo a frase-chave da carteira. Após isso era solicitada a criação de um nome de usuário junto com uma chave numérica. Com essa informação o invasor poderia obter os dados da conta e transferir seus criptoativos para outra carteira.

A frase-chave geralmente é usada em aplicativos de carteira como a Coinbase para fornecer controle de segurança extra aos usuários, e essas frases tem um conjunto de 12 a 24 palavras. Ter essa informação roubada significa um gravíssimo risco à conta do usuário.

“Estamos vendo cada vez mais campanhas de phishing projetadas para distribuir aplicativos maliciosos e extensões de navegador que buscam roubar informações. Principalmente campanhas que incluem links para sites falsos que se passam por vários desses serviços de carteira de criptomoedas com o objetivo de roubar a frase semente ou chave de recuperação”, diz Gonzales.

Para não cair nesse tipo de golpe, a ESET apresentou algumas dicas. Confira a seguir:

• Não instale aplicativos de sites não oficiais;
• Esteja atento aos URLs. Verifique se é o site oficial e não uma imitação;
• Não compartilhe a frase-chave, pois há grandes chances de que ela vaze e que alguém roube seus bens;
• Cuidado com as oportunidades de investimento que prometem alta rentabilidade;
• Instale uma solução de segurança anti-malware em seu dispositivo.

Como identificar sites falsos

Os sites falsos nas fraudes de phishing costumam ter um design bem semelhante ao de sites autênticos, inclusive os criminosos registram endereços de sites quase idênticos ao original. 

Para identificar esses endereços falsos é recomendado a instalação de um bom antivírus que fará uma inspeção no site antes de você acessar, caso não seja um site seguro o software vai te alertar e impedir o acesso.

Outra recomendação é conferir a origem de alguns sites através de bases de dados ‘Who is’. No caso de domínios “.br” é possível checar a origem de sites pela ferramenta “Who is” do Registro.br, recurso que fornece informações sobre o endereço como razão social, CNPJ, data de criação do site e até mesmo e-mails da companhia.

“O “Who is” vai dizer quem é o dono daquele site. Portanto, o que você pode esperar? Que as informações do site de um banco X, vai ter os dados do banco X, como o CNPJ. Não vai ter o nome de uma pessoa física com CPF”, alerta Fábio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina.

Além do Registro.br, é possível checar informações de sites de todo o mundo terminados em “.com” através do site.

Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!