Os investigadores da ESET descobriram o primeiro malware clipper para Android capaz de substituir o conteúdo da área de transferência no dispositivo, na loja do Google Play
Tendo como foco operações com as criptomoedas Bitcoin e Ethereum, o denominado “clipper” visa redirecionar os fundos para a carteira do hacker/atacante, em vez de os redirecionar para os utilizadores.
“Esta descoberta mostra que este tipo de malware que consegue redirecionar fundos de criptomoedas já não são apenas vinculados ao Windows ou fóruns duvidosos do Android. Neste momento, todos os utilizadores de Android precisam ter cuidado com eles”, refere Lukáš Štefanko, Investigador de Malware da ESET.
O clipper recém-descoberto, detetado pelas soluções de segurança da ESET, como Android/Clipper.C, aproveita-se do facto de aqueles que participam em operações de criptomoeda normalmente não inserirem os endereços das suas carteiras on-line manualmente. Em vez de digitar, os utilizadores tendem a copiar e colar os endereços usando a área de transferência. Aqui, o malware substitui o endereço da vítima por outro pertencente ao atacante.
Esta perigosa forma de malware apareceu pela primeira vez em 2017 em plataforma Windows e foi detetada em lojas não confiáveis de aplicações para Android no verão de 2018. Em fevereiro de 2019, descobrimos este clipper malicioso no Google Play, a loja de aplicações oficial de Android.
E se os utilizadores do Android que se mantêm na loja oficial de apps do Google Play estavam a salvo de clippers até 2019, tal já não acontece com mediante esta descoberta. “Felizmente, detetámos este clipper logo depois de ter sido introduzido. Informámos a equipa de segurança do Google Play e eles removeram a aplicação da loja", diz Lukáš Štefanko.
Este ataque tem como alvo os utilizadores que pretendem usar a versão para dispositivos móveis do serviço MetaMask, que foi concebido para executar no browser apps descentralizadas de Ethereum, sem precisar executar um node Ethereum completo. No entanto, e atualmente, o serviço não oferece uma aplicação móvel – apenas complementos para browsers de desktop, tais como o Chrome e o Firefox.
“Parece haver procura para uma versão móvel do MetaMask. Os hackers estão cientes dessa procura e infiltram malware, personificando o serviço na Play Store”, adverte Lukáš Štefanko.
Outro antigo malware que se fazia passar pela MetaMask tinha também como foco os fundos de Bitcoin ou Ethereum do utilizador. No entanto, tentava enganar o utilizador solicitando o seu endereço de carteira num formulário falso e, assim, revelar informações confidenciais ao invasor.