Mais de 20 aplicativos maliciosos no Google Play têm como alvo usuários com frases-semente

Uma investigação recente da empresa de inteligência de ameaças Cyble identificou uma campanha direcionada a usuários de criptomoedas por meio da Google Play Store com mais de 20 aplicativos maliciosos para Android.

Esses aplicativos, disfarçados de carteiras de criptomoedas confiáveis ​​como SushiSwap, PancakeSwap, Hyperliquid e Raydium, foram encontrados coletando frases mnemônicas de 12 palavras dos usuários, as chaves que desbloqueiam seus fundos de criptomoedas.

Esses aplicativos imitam interfaces de carteiras legítimas, induzindo os usuários a inserir frases de recuperação confidenciais. Uma vez inseridas, os invasores podem acessar as carteiras reais e esvaziá-las. Embora o Google tenha removido muitos desses aplicativos falsos após a denúncia da Cyble, alguns permanecem ativos na loja e foram sinalizados para remoção.

De acordo com o relatório da Cyble compartilhado com o Hackread.com, os aplicativos fraudulentos carregam nomes e ícones de plataformas cripto conhecidas e aparecem em contas de desenvolvedores que anteriormente hospedavam aplicativos genuínos, incluindo jogos, aplicativos para download de vídeos e ferramentas de streaming. Essas contas, algumas com mais de 100.000 downloads, parecem ter sido sequestradas e redirecionadas para distribuir os aplicativos maliciosos.

Em vários casos, os aplicativos usam uma ferramenta de desenvolvimento conhecida como "Median Framework" para transformar rapidamente sites de phishing em aplicativos Android. Os aplicativos carregam essas páginas de phishing diretamente dentro de um WebView, uma janela incorporada do navegador, que solicita aos usuários a frase mnemônica sob o pretexto de acesso à carteira.

A campanha não é apenas generalizada em escala, mas também coordenada em sua infraestrutura. Um domínio de phishing encontrado pela Cyble estava vinculado a mais de 50 domínios semelhantes, todos parte de um esforço mais amplo para comprometer a segurança de carteiras.

Os pesquisadores da Cyble também notaram um padrão no funcionamento desses aplicativos falsos. Muitos deles incluem links em suas políticas de privacidade que, na verdade, levam a sites de phishing projetados para roubar as frases de recuperação de carteira dos usuários. Os aplicativos também tendem a seguir estilos de nomenclatura semelhantes, o que indica o uso de ferramentas automatizadas para criá-los e publicá-los rapidamente.

Além disso, vários aplicativos estão conectados aos mesmos servidores ou sites, demonstrando que fazem parte de um esforço maior e organizado. Alguns dos domínios falsos vinculados a esses aplicativos incluem:

• bullxnisbs
• hyperliqwsbs
• raydifloydcz
• sushijamessbs
• pancakefentfloydcz

Esses domínios se passam por diversos provedores de carteira e veiculam páginas destinadas a induzir os usuários a entregar suas frases-semente. A lista parcial de aplicativos maliciosos, cortesia da Cyble, está disponível abaixo:

1. Raidium
2. SushiSwap
3. Carteira Suitet
4. Hiperlíquido
5. BullX Cripto
6. Troca de panquecas
7. Troca de Meteora
8. OpenOcean Exchange
9. Blog de Finanças da Colheita

Apesar dos esforços para remover os aplicativos, a campanha continua. Até o momento desta reportagem, alguns permanecem ativos na Play Store. A rápida replicação desses aplicativos usando estruturas prontas para uso sugere que os invasores poderiam facilmente criar mais aplicativos falsos se não fossem bloqueados rapidamente.

Isso representa um risco sério. Ao contrário dos bancos tradicionais, não há rede de segurança contra roubo de criptomoedas. Uma vez que uma carteira é esvaziada, os fundos são quase impossíveis de recuperar.

A Cyble compartilhou indicadores detalhados de comprometimento (IOCs), incluindo nomes de aplicativos, identificadores de pacotes e domínios de phishing, que os profissionais de segurança podem usar para bloquear ou investigar mais detalhadamente.

Esta campanha demonstra como os invasores continuam a atacar o já vulnerável universo das criptomoedas por meio de canais oficiais, como lojas de aplicativos. Enquanto as plataformas de aplicativos trabalham para capturar uploads maliciosos, os usuários continuam sendo alvos dessas ameaças à segurança cibernética . Portanto, os usuários são incentivados a ficar atentos e seguir estas etapas para se protegerem:

Fique atento a sinais de alerta como baixa contagem de avaliações, aplicativos republicados recentemente ou links para domínios estranhos nas políticas de privacidade.

• Evite baixar e instalar aplicativos desnecessários.

• Ative o Google Play Protect para ajudar a identificar aplicativos potencialmente prejudiciais.

• Use segurança biométrica e autenticação de dois fatores quando disponíveis.

• Tenha sempre cuidado ao baixar aplicativos de lojas oficiais e de terceiros.

• Nunca insira sua frase de 12 palavras em nenhum aplicativo ou site, a menos que tenha certeza de que é legítimo.