Um relatório escrito pelas mais famosas agências de inteligência dos EUA e do Reino Unido, incluindo NSA, FBI, CISA e NCSC, alerta sobre um novo malware russo que está mirando carteiras de criptomoedas e outros aplicativos de navegação, mensageiros e de corretoras.
A lista apresenta nomes como os navegadores Chrome, Mozilla, Brave e Opera, mensageiros como WhatsApp, Telegram, Discord e Skype, bem como aplicativos de autenticação de dois fatores (2FA) em sistemas Android.
“Todos os arquivos nesses diretórios, independentemente do tipo, são extraídos.”
Já na parte financeira, os hackers estão mirando aplicativos das corretoras de criptomoedas Binance e Coinbase, além de carteiras como a TrustWallet. Outros nomes que aparecem na lista são os aplicativos do PayPal, Dropbox, VPN Master e OpenVPN.
Agências de inteligência americanas e britânica emitem alerta sobre poderoso malware
Chamado de “Infamous Chisel” no relatório, o malware teria origens russas. Mais especificadamente, as agências notam que os hackers estariam sendo patrocinados pela própria Rússia, também tendo foco em smartphones de militares ucranianos.
“O malware verifica periodicamente o dispositivo em busca de informações e arquivos de interesse, correspondendo a um conjunto predefinido de extensões de arquivo”, apontam as agências de inteligência. “Ele também contém funcionalidade para verificar periodicamente a rede local, coletando informações sobre hosts ativos, portas abertas e banners.”
Em suas 35 páginas, o relatório também oferece uma ampla visão técnica sobre o funcionamento do malware, explicando em detalhes da implementação. Como exemplo, é notado que o malware executa um comando a cada 86.000 segundos (cerca de 24 horas), virando extrair arquivos de interesse.
As extensões dos arquivos são as mais variadas, incluindo base de dados de diversos aplicativos, imagens, arquivos comprimidos e outros.
No entanto, as agências destacam que o malware também extrai todos os arquivos de outras pastas específicas, independente de seu formato. A lista inclui aplicativos de corretoras e carteiras de criptomoedas, bem como outros serviços usados por investidores diariamente, incluindo os seguintes diretórios:
- com.google.android.apps.authenticator2
- com.brave.browser
- com.opera.browser
- com.paypal.android.p2pmobile
- com.binance.dev
- com.coinbase.android
- com.wallet.crypto.trustapp
- com.dropbox.android
- org.mozilla.firefox
- com.whatsapp
- org.telegram.messenger
- com.discord
- com.android.chrome
- keystore
Mesmo notando que o Infamous Chisel não seja tão sofisticado, as agências americanas e britânica notam que “estes componentes representam uma séria ameaça devido ao impacto das informações que podem recolher”.
O relatório completo pode ser encontrado no site do Centro Nacional de Segurança Cibernética do Reino Unido (NCSC). Embora as agências não tenham publicado nenhuma recomendação, o ideal é que investidores de criptomoedas busquem alternativas seguras de armazenamento, como carteiras de hardware ou de papel.
