A comunidade de criptomoedas enfrentou recentemente uma violação de segurança significativa envolvendo um aplicativo Ledger Live falsificado na Microsoft App Store. Este incidente, que levou ao roubo de mais de US$ 768.000 em ativos criptográficos, serve como um forte lembrete das vulnerabilidades na segurança dos ativos digitais e da importância da vigilância entre os usuários.
A execução do golpe
Presença na Microsoft Store: O aplicativo fraudulento, denominado “Ledger Live Web3”, estava presente na Microsoft Store desde 19 de outubro. Os roubos foram relatados alguns dias depois, indicando uma janela de vulnerabilidade breve, mas impactante.
Sinais de alerta ignorados: apesar de vários sinais de alerta, como a falta de avaliações legítimas (apenas uma classificação de cinco estrelas) e o nome do desenvolvedor listado como “Desenvolvedor oficial”, o aplicativo conseguiu enganar os usuários. A descrição foi quase totalmente copiada do aplicativo legítimo da Apple Store. Experiências das Vítimas: Várias vítimas relataram perdas significativas, com um usuário do Reddit compartilhando a perda de suas economias, totalizando US$ 26.500, logo após inserir sua frase-semente no aplicativo falso.
A resposta e consequências
Ação da Microsoft: A Microsoft removeu o aplicativo no mesmo dia em que a fraude foi descoberta, mas não antes de o golpista transferir mais de US$ 768.000 das vítimas. Processo de investigação e verificação: A Microsoft está supostamente trabalhando para garantir que o conteúdo malicioso seja identificado e removido rapidamente. No entanto, o incidente levanta questões sobre a eficácia do processo de verificação de aplicativos.
Lições e recomendações
Vigilância do usuário: Este incidente reforça a necessidade de os usuários serem extremamente cautelosos, especialmente ao inserir informações confidenciais, como frases de recuperação. Aplicativos autênticos de empresas como Ledger ou Trezor nunca solicitarão que os usuários insiram suas frases de recuperação em seus computadores ou telefones. Verificação de autenticidade: os usuários devem verificar a autenticidade dos aplicativos verificando as fontes oficiais e sendo cautelosos com quaisquer discrepâncias nas descrições dos aplicativos, nomes dos desenvolvedores e avaliações dos usuários.
O golpe se desenrola
Os hackers conseguiram inserir um aplicativo Ledger Live falso na Microsoft App Store, enganando os usuários, fazendo-os acreditar que era o aplicativo legítimo da Ledger, um renomado fabricante de carteiras de hardware de criptomoeda. Este aplicativo falsificado foi projetado para parecer e funcionar como o aplicativo Ledger Live real, tornando difícil para os usuários distinguir o falso do genuíno.
Aqueles que foram induzidos a baixar a versão falsificada do aplicativo instalaram inadvertidamente um malware que poderia roubar criptomoedas. Esse malware funcionava capturando as frases de recuperação dos usuários, visando principalmente aqueles que usavam carteiras de hardware Ledger, com o objetivo de roubar seus ativos digitais.
Os criadores do aplicativo falso foram bastante enganosos, imitando meticulosamente a aparência e a funcionalidade do aplicativo genuíno, até os logotipos e a marca. Eles chegaram ao ponto de fabricar um processo falso de verificação de pinos do dispositivo Ledger. A notável semelhança entre os aplicativos autênticos e os falsificados representava um desafio significativo para os usuários distinguirem o verdadeiro do falso.
Impacto financeiro e detalhes da transação
As consequências desse golpe foram significativas. De acordo com o analista da rede ZachXBT, os invasores roubaram mais de 16,8 bitcoins, avaliados em aproximadamente US$ 588.000 em BTC, e US$ 180.000 adicionais em ETH, elevando a perda total para mais de US$ 768.000. Este roubo não só destaca os riscos financeiros envolvidos, mas também sublinha a sofisticação dos métodos utilizados pelos cibercriminosos no espaço criptográfico.
Dinâmica detalhada do golpe
Perdas financeiras: O falso aplicativo Ledger Live, identificado como “Ledger Live Web3”, levou ao roubo de quase US$ 600.000 em Bitcoin. O golpista recebeu aproximadamente 16,8 BTC, no valor de cerca de US$ 588.000, em 38 transações.
Detalhes da transação: A primeira transação na carteira do golpista ocorreu em 24 de outubro, com a carteira permanecendo inativa antes dessa data. A maior transferência foi de US$ 81.200 em 4 de novembro. Cerca de US$ 115.200 saíram da carteira do golpista, deixando-o com cerca de US$ 473.800 ou 13,5 BTC. Descoberta e remoção de aplicativos: O aplicativo fraudulento foi detectado pela primeira vez em 5 de novembro e estava presente na Microsoft Store já em 19 de outubro. Desde então, a Microsoft removeu o aplicativo e está trabalhando para evitar incidentes semelhantes.
Contribuições e descobertas de ZachXBT
Descoberta e alerta inicial: ZachXBT foi fundamental para chamar a atenção para o golpe do aplicativo Ledger Live falsificado. Ele alertou a comunidade de criptomoedas sobre o falso aplicativo Ledger Live na Microsoft Store, que resultou em um roubo significativo de Bitcoin.
Detalhes do roubo: De acordo com ZachXBT, o aplicativo falso levou ao roubo de mais de 16,8 bitcoins, no valor de aproximadamente US$ 588.000. Ele destacou a escala do roubo e a sofisticação do golpe. Vítimas e Perdas Adicionais: Além do roubo inicial de Bitcoin, ZachXBT relatou que outra vítima com um endereço ETH/BSC perdeu US$ 180.000 devido ao falso aplicativo Ledger. Isso elevou a perda total estimada para mais de US$ 768.000.
Crítica aos processos de verificação de aplicativos: ZachXBT levantou preocupações sobre os processos de verificação de aplicativos das principais plataformas, como a Microsoft App Store. Ele questionou como um aplicativo tão fraudulento poderia contornar as verificações de segurança habituais, sugerindo que esses processos podem não ser tão diligentes quanto necessário. Resposta às perguntas da comunidade: Em resposta às perguntas da comunidade sobre como tal golpe poderia ocorrer, ZachXBT indicou que as empresas de aplicativos podem não estar examinando os aplicativos de forma suficientemente completa, o que permite que tais atividades fraudulentas escapem. Contexto histórico: ZachXBT também observou que este não foi um incidente isolado. Ele ressaltou que golpes semelhantes já ocorreram antes, incluindo um aplicativo falso relacionado à Trezor, outro fabricante de carteiras de hardware, que apareceu na Apple App Store. Defesa da responsabilidade: ZachXBT argumentou que a Microsoft deveria ser responsabilizada por permitir que o falso aplicativo Ledger Live aparecesse em sua loja de aplicativos, enfatizando a necessidade de processos de revisão de aplicativos mais rigorosos para evitar tais golpes. Comunicação direta com as vítimas: ZachXBT recebeu mensagens de várias vítimas que perderam criptomoedas após instalar o aplicativo falso, o que ressaltou ainda mais o impacto do golpe no mundo real.
A análise e os relatórios da ZachXBT foram cruciais para descobrir os detalhes do golpe do aplicativo Ledger Live falsificado. As suas descobertas não só destacaram as perdas financeiras sofridas pelas vítimas, mas também levantaram questões importantes sobre as medidas de segurança e os processos de verificação das lojas de aplicações. Este incidente, conforme revelado por ZachXBT, serve como um lembrete claro dos riscos associados ao gerenciamento de ativos digitais e da importância da vigilância na comunidade de criptomoedas.
A resposta e instâncias anteriores semelhantes
Após a descoberta, a Microsoft removeu imediatamente o aplicativo fraudulento de sua loja. No entanto, o incidente levantou questões sobre a eficácia dos processos de verificação de aplicativos em plataformas importantes como Microsoft, Apple e Google. Estes gigantes da tecnologia enfrentaram problemas semelhantes no passado, onde aplicações fraudulentas disfarçadas de software legítimo escaparam aos seus processos de revisão.
Março de 2021 viu um evento devastador para um indivíduo que caiu em um aplicativo Trezor falsificado encontrado na App Store da Apple, resultando na perda de todas as suas economias em bitcoins. Os culpados fugiram com 17,1 bitcoins. A vítima expressou mais fúria contra a Apple do que contra os ladrões em uma declaração ao The Washington Post.
Na época, a Apple disse: “Nos casos limitados em que os criminosos fraudam nossos usuários, tomamos medidas rápidas contra esses atores, bem como para evitar violações semelhantes no futuro”.
As lojas de aplicativos da Microsoft, da Apple e do Google permitiram inadvertidamente vários aplicativos impostores disfarçados de software legítimo. Esses aplicativos geralmente são criados para fazer phishing em busca de dados iniciais ou de login de um usuário com a intenção de sequestrar seus fundos. A vigilância é fundamental ao verificar a legitimidade de um aplicativo; isso inclui a verificação de erros de digitação, ícones ou explicações incompatíveis e os detalhes de contato do desenvolvedor.
Papel e responsabilidade da Microsoft
Responsabilidade: A presença do aplicativo falso na Microsoft Store levantou questões sobre a responsabilidade da Microsoft na verificação de aplicativos. ZachXBT, o analista da rede que identificou o golpe, sugeriu que a Microsoft deveria ser responsabilizada por permitir o aplicativo falso em sua plataforma. Incidentes anteriores: Esta não é a primeira vez que um aplicativo Ledger Live falso aparece na loja de aplicativos da Microsoft. A conta de suporte da Ledger já havia informado os usuários sobre aplicativos falsificados semelhantes em dezembro e março.
A vigilância do usuário é fundamental
Este evento ressalta a necessidade crítica dos usuários permanecerem vigilantes ao baixar e usar aplicativos relacionados ao gerenciamento de criptomoedas. Os usuários devem examinar os aplicativos em busca de sinais de alerta, como erros de digitação, ícones incompatíveis e detalhes de contato do desenvolvedor questionáveis. Além disso, é crucial baixar aplicativos apenas de fontes verificadas e nunca de lojas de terceiros.
Resposta e recomendações do Ledger
A equipe de suporte da Ledger tomou medidas imediatas para alertar a comunidade sobre o aplicativo falsificado. Eles enfatizaram que o Ledger nunca solicita frases de recuperação de 24 palavras aos usuários e aconselharam o download do Ledger Live apenas em seu site oficial.
Ledger: ‘Certamente relatamos isso, mas somente a Microsoft pode retirá-lo e trabalhar ao seu lado’
Ledger também recomenda que os usuários verifiquem a autenticidade de seu arquivo de instalação binário comparando seu valor hash com aquele listado em seu site.
Lições aprendidas
Este incidente serve como um alerta para a comunidade criptográfica. Destaca a necessidade de medidas de segurança reforçadas e de educação dos utilizadores para combater a evolução das tácticas dos cibercriminosos. Os usuários devem ter extremo cuidado, especialmente ao lidar com aplicativos que lidam com informações financeiras confidenciais.
Conclusão
O golpe do aplicativo Ledger Live falsificado é um lembrete da batalha contínua contra ameaças cibernéticas no mundo das criptomoedas. À medida que a indústria continua a crescer, também aumenta a sofisticação dos ataques. É imperativo que tanto os utilizadores como as empresas se mantenham à frente destas ameaças através de vigilância, educação e práticas de segurança robustas. Este incidente serve como um forte lembrete das ameaças persistentes no espaço dos ativos digitais e da necessidade de vigilância e educação contínuas para se proteger contra fraudes tão sofisticadas.
