Um pesquisador de segurança brasileiro, identificado como Past_Computer2901 no Reddit, acredita ter descoberto um esquema de falsificação de carteiras físicas da Ledger. Além de roubar criptomoedas, o dispositivo também infecta os sistemas operacionais Android, Windows, macOS e iOS.
A pesquisa foi republicada por diversos perfis em outras redes sociais, ganhando tração.
Também nesta semana, outros golpistas fizeram mais de 50 vítimas ao distribuir uma carteira falsa da Ledger na App Store da Apple. Embora os vetores dos ataques sejam diferentes, os alvos são os mesmos.
Brasileiro documenta investigação sobre carteiras falsas da Ledger
A saga de Past_Computer2901 já conta com três postagens no Reddit. Indo além, o pesquisador brasileiro também afirma que já entrou em contato com a própria equipe da Ledger para divulgar as informações descobertas.
No primeiro texto, publicado na quarta-feira (15), o profissional relata que comprou uma “Ledger Nano S” em um marketplace chinês, mas teve uma surpresa ao receber o produto.
“O preço era suspeito e a embalagem parecia “ok” à distância, mas no momento em que abri, era claramente uma falsificação. Em vez de descartar, decidi desmontá-lo.”
Na investigação, ele descobriu que o ST33 utilizado pela fabricante foi substituído por um ESP32-S3 e que as marcações do chip foram lixadas para dificultar a identificação.
Já o firmware aparecia como “Ledger Nano S+ V2.1”, uma versão que não existe.
A grande revelação é que as frases semente (jogo de 12 ou 24 palavras) eram gravadas em texto puro e então enviadas para um servidor C2 (Command and Control) dos hackers.
Além de roubar criptomoedas, a carteira falsa também estaria distribuindo um .exe malicioso para Windows ou então um .dmg para macOS e iOS TestFlight para burlar revisões da App Store.
“Estamos falando de cinco vetores distintos: hardware, Android, Windows, macOS e iOS.”
Pesquisador fez nova postagem esclarecendo dúvidas
Após receber cerca de 100 comentários em sua primeira publicação, Past_Computer2901 postou um novo texto nesta quinta-feira (16) abordando pontos que ficaram dúbios.
Como exemplo, o pesquisador afirma que o Genuine Check do Ledger Live consegue detectar que a carteira é falsa.
No entanto, destaca que dentro da caixa há um cartão com um QR code que leva o usuário a um site falso da Ledger.
“Esse é o golpe. O usuário nunca acessa o ledger.com real”, explicou o brasileiro, notando que o software falsificado autentica a carteira falsa.
Postando mais fotos, o pesquisador mostra como o PIN e as palavras-chave que dão acesso aos fundos são armazenados em texto puro.
“Baixem o Ledger Live apenas da ledger.com. Comprem hardware apenas da ledger.com. Se seu dispositivo falhar no Genuine Check — pare de usar imediatamente”, finalizou.
Brasileiro responde críticas
A segunda postagem conta com mais algumas dezenas de comentários. Somado a isso, diversos perfis republicaram a investigação em outras redes sociais, como no X.
Dado isso, o pesquisador fez uma terceira publicação nesta sexta-feira (17) para responder algumas críticas.
“Eu comprei para uso real”, explicou Past_Computer2901 após ser acusado de saber que estava comprando um produto falso.
“Estou na China, e conseguir uma Ledger oficial aqui não é tão simples quanto ir ao ledger.com e pedir — importar uma quando você não é cidadão chinês vem com suas próprias complicações.”
“O anúncio no marketplace estava com o mesmo preço da loja oficial. Parecia legítimo. Eu tinha uma leve suspeita no fundo da cabeça? Sim — eu me disse que iria verificar com cuidado antes de confiar fundos reais nele. Mas minha intenção era usar, não desmontar”, escreveu o pesquisador.
Indo além, o brasileiro diz ser fácil identificar uma carteira falsa quando se tem outra original ao lado para compará-las. No entanto, ele argumenta que muitos investidores, principalmente novatos, não se atentariam aos detalhes.
“Pegue aquele dispositivo falso sozinho — sem nada para comparar, recém-saído da caixa com embalagem profissional — e eu garanto que a maioria das pessoas acharia que é real. É exatamente isso que torna isso perigoso. O alvo não é alguém que já tem uma Ledger e sabe o que procurar. O alvo é alguém comprando sua primeira hardware wallet.”
Finalizando, o pesquisador brasileiro diz estar planejando comprar outros modelos da mesma loja para ver até onde vai essa operação de falsificação e até mesmo fará transferências para monitorar o roubo.
“Tudo está sendo documentado para um relatório formal para a equipe de segurança da Ledger”, finalizou.
