Um app malicioso que ataca usuários de criptomoedas foi descoberto na loja oficial de apps do Google, o Google Play. O aplicativo foi criado para roubar criptomoedas dos usuários.
O malware, que estava disfarçado como um aplicativo de criptomoedas legítimo, funcionava ao trocar os endereços de carteiras na área de transferência do Android pelo endereço dos hackers. De forma bem simples, quando o usuário copiava um endereço para enviar Bitcoins, na hora de colar, o que era enviado era o endereço dos criminosos. Ele também tentava ter acesso a carteiras de Ethereum.
Um pesquisador da Eset foi quem realizou a descoberta e relatou em um post. Esse tipo de ataque, com troca de endereços copiados na área de transferência é chamado de “Clipper” e é bem comum no Windows desde 2017.
O malware disponível na Google Play imitava um serviço chamado MetaMask, um programa que permite que todos os navegadores possam executar aplicativos que funcionam com o Ethereum. O propósito primário do Android/Clipper.C (Como a Eset chamou o vírus) era roubar credenciais para ganhar acesso à fundos de Ethereum. O malware também substituía endereços na área de transferência, como já mencionamos.
O pesquisador Lukas Stefanjo da Eset disse:
“Esse ataque tinha como alvo usuários que queria usar a versão mobile do serviço MetaMask, que foi desenhado para executar os dapps da Ethereum em um navegador, sem precisar executar todo o node do Ethereum. Porém, a MetaMask não oferece versão mobile do serviço.”
Diversos apps maliciosos foram pegos imitando o MetaMask na Google Play antes. Porém, simplesmente faziam phishing de informações importantes com o objetivo de acessar os ETHs guardados pelos usuários.
A Eset descobriu o app rapidamente após seu lançamento. O Google já removeu o malware. Essa é a primeira vez que um clipper é hospedado na loja oficial da Google.
A descoberta apenas reforça que o Google Play não deve ser confiado quando estamos lidando com criptomoedas! Por isso, muito cuidado e ponderação na hora de baixar qualquer coisa da loja oficial do Google.
