Defenda-se contra o malware clipper: uma explicação detalhada sobre aplicativos de comunicação falsos e reempacotados
Principais tópicos do post:
Uma ameaça global aos usuários de criptomoedas representada pelo malware clipper permanece ativa, impulsionada por aplicativos reempacotados (repackaged apps) que interceptam mensagens contendo endereços de criptomoedas e os trocam por endereços criminosos.
A última interação desse ataque se espalhou por versões muito convincentes, mas falsas, de aplicativos de mensagens populares, tanto para celular quanto para computador.
A equipe de segurança da Binance está trabalhando 24 horas para monitorar a ameaça, detectar e colocar os endereços dos golpistas na lista de rejeição e aumentar a conscientização do público para ajudar os usuários a se defenderem contra essa ameaça.
Recentemente discutimos a ameaça global do malware clipper, que visa principalmente usuários de dispositivos móveis por meio de aplicativos falsos e reempacotados, incluindo aplicativos falsos da Binance. A ameaça não só permanece ativa, como evolui, mudando recentemente para um novo modo de disseminação: aplicativos de mensagens falsos como Telegram e WhatsApp, tanto em plataformas para celular quanto para computador.
Nesta publicação de acompanhamento, pretendemos educar e alertar ainda mais nossos usuários sobre os perigos em evolução do malware clipper e descrever as medidas que a equipe de segurança da Binance está tomando para proteger a comunidade.
Recapitulação: a natureza e a história do malware clipper
O malware clipper é um tipo de bug programado por criminosos cibernéticos para interceptar dados da área de transferência, na maioria das vezes endereços de carteiras de criptomoedas. O ataque substitui o endereço da carteira copiado pela vítima por um endereço controlado pelo hacker. Se o usuário colar esse endereço manipulado enquanto faz uma transação, ele enviará seus fundos para a carteira do hacker sem saber.
O primeiro incidente generalizado desse ataque de malware ocorreu em 2019, quando um aplicativo falso da MetaMask foi disponibilizado no Google Play Store. O aplicativo tinha o objetivo de roubar chaves privadas e substituir endereços de criptomoedas copiados para a área de transferência.
Desde então o malware clipper evoluiu, se infiltrando em outros aplicativos, incluindo corretoras de criptomoedas e serviços de mensagens.
Nos últimos meses a ameaça aumentou, com um número crescente de usuários se tornando vítimas em várias regiões. Infelizmente, a onda de ataques ainda representa uma ameaça para a comunidade cripto, principalmente à medida que os cibercriminosos ampliam seus vetores de ataque para incluir não apenas aplicativos de corretoras de criptomoedas falsos, mas também aplicativos de mensagens como Telegram e WhatsApp reempacotados, tanto para celular quanto para computador.
A ameaça em expansão: aplicativos falsos e reempacotados
O ataque inicial se concentrou em aplicativos de corretoras falsos, incluindo o aplicativo da Binance, com o objetivo de roubar as criptomoedas dos usuários. Agora descobrimos uma nova tendência perturbadora: aplicativos falsos do Telegram e WhatsApp reempacotados por golpistas e distribuídos por canais não oficiais. Esses aplicativos falsos imitam a funcionalidade dos aplicativos legítimos enquanto realizam ataques no plano de fundo.
Os aplicativos de malware escaneiam todas as mensagens em busca de endereços de carteira e os substituem pelos endereços do hacker antes de exibir as informações manipuladas para o usuário.
WhatsApp (celular)
O que é mais preocupante é que esse ataque não se limita aos dispositivos móveis. As versões desses aplicativos falsos para computador são igualmente perigosas, muitas vezes acompanhadas de Trojans de Acesso Remoto (RATs) que dão aos invasores controle total sobre o sistema da vítima. Uma vez infiltrados, esses RATs podem roubar informações confidenciais, incluindo credenciais de carteira, e redirecionar fundos sem o conhecimento do usuário.
Como o malware clipper funciona
Os ataques de malware clipper podem ocorrer de várias maneiras, mas todos eles giram em torno de um mecanismo central: manipular os dados da área de transferência para interceptar transações de criptomoedas. Saiba como os ataques funcionam em vários cenários:
Aplicativos para dispositivos móveis (Telegram e WhatsApp):
O usuário baixa um aplicativo falso do Telegram ou WhatsApp de um site não oficial.
O aplicativo funciona normalmente, mas monitora todas as mensagens e as escaneia em busca de endereços de carteira.
Quando um endereço de carteira de criptomoedas é detectado, o malware o substitui pelo endereço do hacker antes que a mensagem seja exibida para o usuário.
Como alternativa, o malware intercepta o momento em que um usuário copia um endereço de carteira exibido nesses aplicativos falsos e o altera ao colar.
O usuário, sem saber, envia fundos ao hacker em vez do destinatário pretendido.
Aplicativos para computador:
Da mesma forma, versões falsas do Telegram e WhatsApp para computador são distribuídas, muitas vezes acompanhadas de RATs.
Uma vez instalado, o RAT opera silenciosamente em segundo plano dando ao hacker controle remoto do sistema da vítima.
O malware pode roubar credenciais de carteira ou modificar diretamente as transações, redirecionando fundos para a carteira do golpista.
Mesmo que a vítima remova o aplicativo falso, o RAT pode permanecer, o que continua representando um risco.
Alvos: usuários vulneráveis na Ásia e Oriente Médio
Uma parcela considerável de vítimas do malware clipper vem de regiões onde o Google Play não está amplamente disponível, como na China e no Oriente Médio.
Devido às restrições impostas pelo governo, os usuários nessas áreas geralmente recorrem a sites de terceiros para baixar aplicativos. Isso os torna particularmente vulneráveis ao download de aplicativos falsos e reempacotados. Por exemplo, muitos usuários na China procuram por "Telegram下载链接" (link de download do Telegram) ou "Telegram 中文版下载链接" (link de download da versão chinesa do Telegram), levando-os a sites falsos. Esses sites falsos podem parecer tão sofisticados que seria difícil para o usuário comum diferenciá-los dos sites oficiais.
Os golpistas geralmente distribuem aplicativos maliciosos por meio de fontes não oficiais, como YouTube ou Baidu, e os aplicativos funcionam quase exatamente como suas contrapartes legítimas. No entanto, sob certas condições – como quando o usuário tenta enviar criptomoedas – o malware altera discretamente o endereço da carteira para um endereço pertencente ao golpista.
Esforços contínuos da equipe de segurança da Binance
Na Binance, proteger os usuários é uma prioridade e nossa equipe de segurança tem trabalhado ativamente para combater essas ameaças em andamento. Tomamos várias medidas para detectar e combater ataques de malware:
Engenharia reversa e lista de rejeição de endereços suspeitos: a Equipe Vermelha da Binance faz engenharia reversa de muitos desses aplicativos maliciosos, identificando os servidores e endereços de carteira usados pelos golpistas. Isso nos permite tomar medidas contra essas entidades maliciosas, derrubando e bloqueando os endereços de carteira identificados.
Monitoramento aprimorado: implantamos sistemas automatizados de rastreamento para detectar aplicativos falsos e sites maliciosos. Isso nos permite responder rapidamente e remover essas ameaças antes que elas possam prejudicar nossos usuários.
Campanhas de conscientização pública: a Binance está informando ativamente a comunidade sobre essas ameaças por meio de publicações de blogs, alertas de rede social e e-mails. Enfatizamos a importância de baixar aplicativos apenas de fontes oficiais, como Google Play ou Apple App Store, e evitar sites de terceiros.
Como se proteger
Saiba o que você pode fazer para se manter protegido contra as ameaças do malware clipper:
Baixe aplicativos de fontes oficiais: sempre use lojas de aplicativos legítimas, como o Google Play ou a Apple App Store. Evite sites de terceiros, mesmo que ofereçam versões locais dos aplicativos. Tenha cuidado ao instalar aplicativos e certifique-se de que está instalando os aplicativos certos.
Verifique os endereços de carteira: antes de fazer qualquer transação de criptomoeda, verifique novamente o endereço da carteira que você copiou. Considere usar um aplicativo de carteira que destaca as principais partes do endereço para facilitar a verificação.
Use medidas fortes de segurança: ative a autenticação de dois fatores (2FA) em todas as suas contas e atualize regularmente suas configurações de segurança. Use software antivírus e certifique-se de que ele sempre esteja atualizado. Outras medidas de proteção incluem, entre outras, fazer logout depois de acessar quaisquer plataformas relacionadas a finanças, desligar a conectividade e os serviços de localização e manter suas informações pessoais privadas. Por último, mas não menos importante, sempre que possível tenha um plano de backup e proteja fisicamente seu dispositivo.
Desconfie de links suspeitos: evite clicar em links desconhecidos em e-mails, redes sociais ou aplicativos de mensagens. Campanhas de phishing geralmente acompanham a distribuição de malware, induzindo os usuários para que baixem softwares maliciosos.
Considerações finais
A ameaça do malware clipper ainda está em andamento e a gama de métodos de entrega se expandiu além dos aplicativos falsos da Binance para incluir plataformas de comunicação amplamente utilizadas como Telegram e WhatsApp. Seja no celular ou no computador, esses aplicativos falsos representam um perigo claro e imediato para usuários de criptomoedas em todo o mundo, principalmente em regiões onde o acesso a lojas de aplicativos oficiais é limitado.
A equipe de segurança da Binance continua monitorando, detectando e respondendo a essas ameaças, mas precisamos que você fique atento. Mantenha-se informado, seja cauteloso e sempre baixe aplicativos de fontes confiáveis.
Para obter as últimas atualizações sobre ameaças à segurança cibernética, siga nossos artigos do Blog sobre segurança.