Uma nova campanha maliciosa conseguiu infiltrar-se no ecossistema fechado da Apple. Segundo um novo relatório publicado pela Securelist, a loja oficial da empresa alojou recentemente dezenas de aplicações que se faziam passar por populares carteiras digitais, com o único objetivo de esvaziar os fundos das vítimas.
Os investigadores da Kaspersky identificaram um total de 26 aplicações que imitavam serviços de renome como a Metamask, Coinbase, Trust Wallet e OneKey. O objetivo central dos atacantes era roubar as frases de recuperação dos utilizadores, um conjunto crítico de palavras que garante o acesso total e irreversível aos ativos digitais de uma conta.
O esquema para contornar bloqueios e instalar malware
A campanha, apelidada pelos investigadores de FakeWallet, focou-se inicialmente no mercado chinês. Como as aplicações legítimas de criptomoedas enfrentam bloqueios rigorosos no país, os cibercriminosos publicaram este software malicioso disfarçado de jogos inofensivos ou calculadoras. A tática levava os utilizadores a acreditar que estavam a descarregar um método alternativo para contornar a censura e aceder às suas carteiras.
Assim que a aplicação era aberta, as vítimas eram imediatamente redirecionadas para páginas de phishing sofisticadas, criadas para replicar os portais oficiais dos serviços. Estas páginas convenciam os alvos a descarregar versões modificadas e perigosas das carteiras, abusando de uma funcionalidade legítima do sistema operativo para perfis empresariais. Isto permitia a instalação externa de malware diretamente nos equipamentos, contornando algumas das barreiras de segurança. O código malicioso intercetava então as frases-semente introduzidas, encriptando-as e enviando os dados em silêncio para os servidores dos atacantes.
Ligações a ataques anteriores e o alerta global
A análise técnica associa esta nova vaga de ataques à operação SparkKitty, que se encontra ativa de forma persistente desde o ano passado. Para os utilizadores de carteiras físicas, como as da Ledger, o método adaptava-se, apresentando ecrãs falsos de verificação de segurança que induziam a vítima a digitar a sua frase de recuperação de forma manual, entregando o controlo dos fundos sem necessidade de qualquer palavra-passe adicional.
Este incidente surge pouco tempo depois de ter sido revelado que uma outra aplicação fraudulenta na mesma loja conseguiu roubar o equivalente a cerca de 8,9 milhões de euros a dezenas de utilizadores através de um esquema semelhante.
Embora o foco inicial tenha sido a China, o malware em si não possui quaisquer limitações geográficas, o que sublinha a necessidade de atenção redobrada a nível global. A gigante tecnológica já procedeu à remoção imediata das 26 aplicações da sua loja oficial após a notificação dos investigadores de segurança, mas fica o alerta definitivo para que os consumidores confirmem sempre a autenticidade do publicador antes de instalarem qualquer ferramenta com acesso a dados financeiros.
Nenhum comentário
Seja o primeiro!