Em maio deste ano houve um aumento no valor do Bitcoin que atingiu o ponto mais alto desde setembro de 2018. E, para surpresa de alguns, os cibercriminosos rapidamente notaram esse aumento e começaram a aumentar seus esforços para atacar os usuários de criptomoedas através de golpes e aplicativos falsos.

Um desses aplicativos falsos foi detectado recentemente no Google Play por um usuário do Reddit - o app se passava pela popular carteira de hardware de criptomoedas da Trezor e usava o nome de "Trezor Mobile Wallet". Até este momento, ainda não tinhamos visto malwares tentando se passar pela marca Trezor e isso nos gerou certa curiosidade para saber as capacidades desse aplicativo falso. Afinal, a Trezor oferece carteiras de hardware que exigem manipulação física e autenticação por meio de um PIN ou conhecimento da chamada semente de recuperação para acessar as criptomoedas armazenadas. Restrições semelhantes ocorrem em seu aplicativo oficial: "TREZOR Manager".

Depois de analisar o aplicativo falso, descobrimos que:

  1. Devido às múltiplas camadas de segurança do Trezor, os usuários não correm nenhum risco.
  2. Está conectado a um aplicativo falso de carteira de criptomoedas chamado "Coin Wallet – Bitcoin, Ripple, Ethereum, Tether", que é capaz de iludir os usuários desavisados.
  3. Além disso, ambos os aplicativos foram criados com base no modelo de um aplicativo vendido on-line.

Relatamos a descoberta do aplicativo falso da Trezor para a equipe de segurança do Google e informamos a Trezor sobre a publicação deste artigo. A empresa confirmou que o aplicativo falso não representa uma ameaça direta aos usuários. No entanto, eles expressaram preocupação com endereços de e-mail coletados por meio de aplicativos falsos como este e o fato de que podem ser usados ​​posteriormente para campanhas de phishing direcionadas aos usuários do Trezor.

Atualmente, nem o aplicativo falso da Trezor nem o aplicativo Coin Wallet estão disponíveis no Google Play.

O aplicativo falso da Trezor

Simulando ser uma carteira para a Trezor, o aplicativo foi cadastrado no Google Play em 1º de maio de 2019 com "Trezor Inc" como desenvolvedor, assim como pode ser visto na Figura 1. Em geral, a página do aplicativo no Google Play parece ser confiável - o nome do aplicativo, o nome do desenvolvedor, categoria do aplicativo, descrição do aplicativo e imagens, todas essas informações parecem ser legítimas à primeira vista. No momento de nossa análise, o aplicativo falso aparece como um segundo resultado ao pesquisar por "Trezor" no Google Play, logo depois do aplicativo oficial da Trezor.

Figura 1. O aplicativo falso no Google Play.

O que o app falso da Trezor faz?

O golpe convincente começa e termina no Google Play. Após a instalação, o ícone que aparece na tela do usuário é diferente do que é visto no Google Play, que serve como um indicador claro de algo falso. O ícone do aplicativo instalado diz "Coin Wallet", como pode ser visto na Figura 2.

Figura 2. O ícone do "Trezor Mobile Wallet" após a instalação.

Além disso, quando os usuários executam o aplicativo, uma tela de registro genérica é exibida, sem mencionar a Trezor em qualquer lugar, como pode ser visto na Figura 3. Esse é outro indicador de que não estamos diante de um aplicativo legítimo. Essa tela genérica é usada para roubar credenciais de acesso - embora não esteja totalmente claro quais credenciais e qual possível uso seria dado pelos atacantes. Da mesma forma, seja qual for a informação que o usuário insera nesses campos, os dados serão enviadas para o servidor dos atacantes, como pode ser visto na Figura 4.

Figura 3. Uma tela de registro genérica é exibida no aplicativo falso.

 

Figura 4. As credenciais digitadas são enviadas para o servidor do atacante.

Como pode ser visto na Figura 4, o servidor usado para coletar as credenciais inseridas por meio do aplicativo falso da Trezor é hospedado em coinwalletinc[.]com. Ao verificar o domínio, fomos levados para outro aplicativo falso em seu site, chamado "Coin Wallet”, e para "Coin Wallet - Ripple, Ethereum, Tether" no Google Play.

O app Coin Wallet

O app Coin Wallet e o aplicativo falso da Trezor descritos na seção anterior têm muitas coisas em comum - além de usar o mesmo servidor, eles também têm semelhanças no código e na interface. O aplicativo Coin Wallet usa o mesmo ícone que vimos após a instalação do aplicativo falso da Trezor.

Em seu site, o aplicativo Coin Wallet é descrito como "a carteira líder mundial", como pode ser visto na Figura 5.

Figura 5. A apresentação falsa no site do aplicativo Coin Wallet.

O site contém um link para o Google Play, onde o aplicativo estava disponível de 7 de fevereiro de 2019 a 5 de maio do mesmo ano, com o nome de “Coin Wallet – Bitcoin, Ripple, Ethereum, Tether”, como pode ser visto na Figura 6. Durante esse período, o aplicativo foi instalado por mais de 1.000 usuários.

O site também parece estar vinculado à Apple App Store, mas ao clicar no botão que diz "disponível na App Store" apenas nos redireciona para a URL da imagem em PNG.

Figura 6. O aplicativo falso Coin Wallet no Google Play.

O que o Coin Wallet faz?

O aplicativo diz que permite aos usuários criar carteiras para várias criptomoedas. No entanto, sua finalidade é iludir os usuários para que transfiram suas criptomoedas para as carteiras dos atacantes - um caso clássico do que chamamos de fraudes de endereços de carteira em investigações de criptomoedas anteriores – direcionando a malwares.

O golpe funciona ao fazer com que o usuário acredite que o aplicativo gera um endereço de carteira exclusivo no qual podem transferir suas moedas. Na verdade, esse endereço pertence à carteira dos atacantes, pois somente eles contam com a chave privada necessária para acessar esses fundos. Os atacantes têm uma carteira para cada criptomoeda que suporta -13 carteiras juntas e todas as vítimas que usam qualquer uma das criptomoedas atingidas obtêm o mesmo endereço de carteira.

Olhando para o gráfico desses elementos compartilhados e do aplicativo falso da Trezor, parece que ambos foram criados na mesma base. Uma pesquisa no Google por “coinwallet app template” nos oferece um "modelo de carteira de criptomoeda para Android" genérico (“Android cryptocurrency wallet template”) disponível por US$ 40. O modelo em si é um recurso benigno que se torna malicioso nas mãos dos atacantes - no entanto, vemos aqui como esses ativos podem ser usados ​​por mais atacantes para criar aplicativos falsos de maneira rápida e econômica.

Saiba como estar protegido

Se o Bitcoin continuar com essa tendência de crescimento, podemos esperar que mais golpes de criptomoedas apareçam na loja de aplicativos oficial do Android e em outros lugares. Ao instalar aplicativos, é importante seguir certos princípios de segurança - especialmente se houver dinheiro em jogo.

  • Confie apenas em aplicativos financeiros e relacionados a criptomoedas se um link para o aplicativo aparecer no site oficial do serviço.
  • Apenas insira suas informações confidenciais em formulários on-line ao ter certeza sobre sua segurança e legitimidade.
  • Mantenha seu dispositivo atualizado.
  • Use uma solução de segurança para dispositivos móveis confiável para bloquear e remover ameaças.

Indicadores de Comprimetimento (IoCs)

Package Name Hash Detection
com.trezorwalletinc.cryptocurrency 0021A89588C8CEB885A40FBCCA6DD76D Trojan.Android/FakeApp.KO
com.walletinc.cryptocurrency EE9E4AD693A0F0C9971145FB0FB0B85C Trojan.Android/FakeApp.KO

Cryptocurrency Wallet
BTC 17jAe7hTZgNixT4MPZVGZD7fGKQpD9mppi
DOGE DGf6dT2rd9evb4d6X9mzjd9uaFoyywjfrm
ETH 0x69919d83F74adf1E6ACc3cCC66350bEA4b01E92C
LTC Lg64xV4Mw41bV3pTKc5ooBJ4QZ81gHUuJ6
BCH qq9cjckr3r9wl5x4f3xcfshpcj72jcqk9uu2qa7ja2
DASH Xu6mkZNFxSGYFcDUEVWtUEcoMnfoGryAjS
ZEC t1JKPTwHJcj6e5BDqLp5KayaXLWdMs6pKZo
XRP raPXPSnw61Cbn2NWky39CrCL1AZC2dg6Am
USDT 0x69919d83F74adf1E6ACc3cCC66350bEA4b01E92C
XLM GDZ2AT7TU6N3LTMHUIX6J2DZHUDBU74X65ASOWEZUQGP7JMQ237KDBUX
TRX TAm4fPA6yTQvaAjKs2zFqztfDPmnNzJqi2
ADA DdzFFzCqrhswWLJMdNPJK8EL2d5JdN8cSU1hbgStPhxDqLspXGRRgWkyknbw45KDvT2EJJhoPXuj2Vdsj6V6WWM5JABoZ4UhR7vnRopn
NEO AJqeUDNrn1EfrPxUriKuRrYyhobhk78zvK