Investigadores da ESET, líder mundial em software de segurança informática, descobriram o primeiro malware clipper para Android capaz de substituir o conteúdo da área de transferência no dispositivo, na loja do Google Play. Tendo como foco operações com as criptomoedas Bitcoin e Ethereum, o denominado “clipper” visa redirecionar os fundos para a carteira do hacker/atacante, de forma inocente em vez de para a vítima.
“Esta descoberta mostra que este tipo de malware que consegue redirecionar fundos de criptomoedas já não são apenas vinculados ao Windows ou fóruns duvidosos do Android. Neste momento, todos os utilizadores de Android precisam ter cuidado com eles”, refere Lukáš Štefanko, Investigador de Malware da ESET.
O clipper recém-descoberto, detetado pelas soluções de segurança da ESET, como Android/Clipper.C, aproveita-se do facto de aqueles que participam em operações de criptomoeda normalmente não inserirem os endereços das suas carteiras on-line manualmente. Em vez de digitar, os utilizadores tendem a copiar e colar os endereços usando a área de transferência. Aqui, o malware substitui o endereço da vítima por outro pertencente ao atacante.
Esta perigosa forma de malware apareceu pela primeira vez em 2017 em plataforma Windows e foi detetada em lojas não confiáveis de aplicações para Android no verão de 2018. Em fevereiro de 2019, descobrimos este clipper malicioso no Google Play, a loja de aplicações oficial de Android.
E se os utilizadores do Android que se mantêm na loja oficial de apps do Google Play estavam a salvo de clippers até 2019, tal já não acontece com mediante esta descoberta. “Felizmente, detetámos este clipper logo depois de ter sido introduzido. Informámos a equipa de segurança do Google Play e eles removeram a aplicação da loja ", diz Lukáš Štefanko.
Este ataque tem como alvo os utilizadores que pretendem usar a versão para dispositivos móveis do serviço MetaMask, que foi concebido para executar no browser apps descentralizadas de Ethereum, sem precisar executar um node Ethereum completo. No entanto, e atualmente, o serviço não oferece uma aplicação móvel – apenas complementos para browsers de desktop, tais como o Chrome e o Firefox.
“Parece haver procura para uma versão móvel do MetaMask. Os hackers estão cientes dessa procura e infiltram malware, personificando o serviço na Play Store”, adverte Lukáš Štefanko.
Outro antigo malware que se fazia passar pela MetaMask tinha também como foco os fundos de Bitcoin ou Ethereum do utilizador. No entanto, tentava enganar o utilizador solicitando o seu endereço de carteira num formulário falso e, assim, revelar informações confidenciais ao invasor.
“Com um clipper instalado no dispositivo da vítima, roubar fundos não podia ser mais fácil. São as próprias vítimas que, sem querer, enviam os seus fundos diretamente para o atacante”, explica Lukáš Štefanko.
A deteção do malware clipper no Google Play serve também como alerta para a necessidade crescente de utilizadores de Android seguirem as melhores práticas de segurança também nos seus equipamentos móveis.
A segurança contra clippers e outros malware Android, passa por:
• Manter os dispositivos Android atualizados, com uma solução de segurança instalada
• Continuar a fazer o download das aplicações no Google Play...
• ... no entanto, há que verificar sempre o site oficial do fabricante da aplicação ou do fornecedor de serviços para obter o link para a aplicação oficial. Se não existir, há que ver esse facto como um aviso e ser muito cauteloso com o resultado de qualquer pesquisa realizada no Google Play que possa seguir-se
• Verificar com muita atenção cada passo em todas as transações que envolvam algo valioso, desde credenciais a dinheiro. Quando utilizar a área de transferência, verificar se o que lá se coloca é o pretendido.
Os Indicadores de Compromisso (IoC) e detalhes técnicos podem ser consultados no blog da ESET Portugal.
Esta descoberta chega mesmo a tempo do Mobile World Congress em Barcelona, onde Lukáš Štefanko vai estar presente no stand da ESET e estará disponível para entrevistas. A ESET estará a demonstrar o Machine Learning/Artificial Intelligence, e a partilhar novas pesquisas e descobertas importantes em segurança móvel e a demonstrar as soluções de segurança para dispositivos móveis na exposição global, de 25 a 28 de fevereiro de 2019 em Barcelona, no Hall 7, stand 7H41.