Carteira com diversas criptomoedas.
Hackers fizeram 150 vítimas com uma carteira falsa de criptomoedas que levou cerca de 5 meses para ser derrubada do Google Play. Para isso ser possível, eles criaram um esquema engenhoso para enganar tanto o Google quanto seus alvos.
Segundo estudo publicado pela Check Point, os hackers apresentaram à carteira ao Google como se ela fosse uma calculadora, chamada “Mestox Calculator”. Ou seja, um aplicativo inofensivo.
No entanto, o aplicativo mudou de nome diversas vezes, até virar uma carteira de criptomoedas chamada “WalletConnect”.
Por trás dos panos, os hackers desenvolveram um labirinto para que o aplicativo não levantasse bandeiras vermelhas por nenhum anti-vírus.
Em suma, a carteira conectava no site da calculadora e, caso o visitante não passasse na verificação por ser um anti-vírus, ele continuava no mesmo site. Caso fosse uma vítima, ele era dirigido a outro site e então para um drenador de criptomoedas.
“Essa técnica permite que invasores passem pelo processo de revisão de aplicativos no Google Play, pois as verificações automatizadas e manuais carregarão o aplicativo de calculadora “inofensivo”.”
Para enganar as vítimas, os hackers saíram com uma solução mais simples: análises falsas do aplicativo no Google Play. Das 90 reviews, a média fica em 4,8 de 5 estrelas, suficiente para enganar os usuários mais desatentos.
Isso porque, conforme destacado pela Check Point e visto na captura de tela abaixo, as análises eram obviamente falsas já que falavam sobre outros produtos, como edição de fotos e organização de documentos, algo não relacionado com o aplicativo em questão.
Dentre os falsos relatos, há alguns usuários alertando outros que se trata de um golpe e que perderam suas criptomoedas. De qualquer forma, é difícil que alguém preste atenção nelas, justamente pela menor quantidade.
Os hackers em questão não estavam de brincadeira. Além das táticas sofisticadas para enganar o Google, eles também fizeram um estudo para escolher o nome da falsa carteira em questão.
Isso porque o nome “WalletConnect” não se refere a nenhuma carteira do mercado, mas sim a um protocolo que permite a conexão entre sites e carteiras de criptomoedas, servindo para aprovar transações. Tal opção é encontrada em diversos sites e, por estar ao lado de outras carteiras, pode levar o usuário a confundi-la com uma.
Dado isso, a empresa de segurança Check Point aponta que muitos usuários podem pesquisar pelo nome “WalletConnect” em lojas de aplicativos atrás de uma carteira com esse nome, e acabavam fazendo o download dessa carteira falsa focada em roubar criptomoedas.
O estudo aponta que a carteira dos hackers recebeu transações de 150 endereços diferentes, estimando que esse seja o número de vítimas. No total, as perdas ultrapassam os US$ 70.000 (R$ 380 mil).
Finalizando, o artigo da Check Point mostra que as artimanhas dos hackers não pararam por aí e que eles tinham outras cartas na manga.
Dentre elas está a utilização de um endereço de contrato inteligente que começa e termina com diversos zeros (0x0000366a6afea972e4353b070ad904744a530000). Conforme carteiras e outros recursos costumam abreviar endereços, para 0x0000…0000 neste caso, eles ficam parecendo menos suspeitos.
“Esse contrato inteligente possui um endereço atraente, como 0x000…000, para parecer mais confiável.”
“Ele também tem o código-fonte verificado e é relativamente simples”, continuou a Check Point. “O contrato inclui várias funções com nomes como ClaimReward, Connect, Withdraw e Execute, permitindo seu uso em diversos esquemas fraudulentos.”
“Todas essas funções realizam a mesma sequência de ações: transferem fundos para as carteiras dos invasores e enviam uma certa porcentagem para os criadores do MS Drainer.”
Outro ponto mencionado é que a falsa carteira pedia para as vítimas trocarem de rede, como de Ethereum para BNB Chain, por exemplo, para conseguirem roubar o maior número de criptomoedas possível.
Por fim, o estudo completo sobre toda engenharia por trás dessa carteira falsa de criptomoedas pode ser encontrado no site de pesquisas da Check Point.
Comentários