Carteiras Ledger falsas estão circulando em lojas online, principalmente na China. Essas falsificações são projetadas para sugar as criptomoedas de seus usuários.
Joje Mendes, pesquisador brasileiro de segurança cibernética, comprou um Ledger Nano S+ em uma loja online. Esta é uma carteira que permite proteger criptomoedas mantidas diretamente no blockchain. O Nano S+ faz parte do vasto catálogo da Ledger, unicórnio francês que fabrica e comercializa carteiras físicas, e serve como opção de entrada.
O especialista não acessou o site oficial do Ledger. O preço era muito inferior ao do site oficial (79 euros), tal como a embalagem, marcada com números de série falsos. Uma vez que ele quis conectar o Ledger ao aplicativo oficial, ou seja, Ledger Live, apareceu um aviso na tela do seu smartphone. O alerta indicava que se tratava de um “dispositivo não genuíno”.
Leia também: Golpe de criptografia na App Store – este aplicativo Ledger falso enganou dezenas de pessoas
Chip adulterado com firmware e aplicativo Ledger falso
Seguindo esse alerta, o pesquisador decidiu abrir a carteira física para saber o que havia em seu estômago. Dentro ele não encontra um chip seguro Ledger, mas uma placa ESP32-S3 barato. Ele também localiza antenas Wi-Fi e Bluetooth cujas marcações foram riscadas para ocultar sua origem. Mesmo assim, o perito conseguiu identificar a origem dos componentes.
Estes foram feitos por Expressif Sistemasuma empresa chinesa especializada em design de semicondutores. A empresa projeta componentes eletrônicos encontrados em milhões de dispositivos conectados diariamente, desde lâmpadas inteligentes até máquinas de café. Este componente está programado para capturar seus dados confidenciais de servidores sob controle de hackers assim que a carteira falsa for inicializada.
O firmware do dispositivo, adulterado por hackers, armazena tanto seu PIN quanto sua frase de recuperação de 24 palavras, que permite acesso às suas criptomoedas no blockchain. Observe que o dispositivo não possui transmissão Wi-Fi autônoma. O cartão eletrônico dentro dele é capaz de armazenar dados, mas não pode enviá-los remotamente sem uma ajudinha. É aqui que entra em ação o código QR malicioso preso na caixa. Este código QR foi projetado para redirecionar o usuário para uma página falsa do Ledger, permitindo que ele baixe e instale um aplicativo falso da Ledger Walletseja no Android, iOS, Windows e macOS.
Este aplicativo malicioso simula uma configuração bem-sucedida, rouba a frase de recuperação inserida e monitora os saldos na blockchain em tempo real. O aplicativo tem como alvo mais de 20 blockchains como Bitcoin, Ethereum, Solana ou Polygon. As informações são então prontamente transferidas para os servidores dos cibercriminosos. Eles podem então assumir o controle da carteira e desviar todos os ativos digitais.
O aplicativo é usado para transferir informações para hackers, mas também atua como um segundo vetor de ataque. Se o falso Ledger não conseguiu roubar seus dados, o aplicativo deveria. Os dois mecanismos reforçam-se mutuamente e um assume o controle se o outro falhar. De uma forma ou de outra, os cibercriminosos conseguem o que querem.
Como não cair na armadilha?
Estas falsificações, concebidas para enganar os compradores, abundam nas lojas online, especialmente na Amazon ou em certas plataformas chinesas. Existe também o risco de encontrar falsificações semelhantes no mercado de segunda mão, especialmente no Vinted ou no Leboncoin. Os mercados de terceiros têm “um histórico comprovado de distribuição de carteiras comprometidas”explica o pesquisador brasileiro. Por questões de segurança, recomendamos que você nunca compre uma carteira física de segunda mão, nem acesse sites de terceiros para comprar um novo Ledger. Vá diretamente ao site oficial da marca francesa ou aos revendedores certificados.
Após o recebimento, acesse o site da Ledger para instalar o aplicativo Ledger Wallet, antigo Ledger Live, seja no iOS ou Android. Não preste atenção a possíveis códigos QR. Assim que o aplicativo for iniciado, você deverá ser notificado se encontrar uma falsificação.
“Se o seu dispositivo chegar com uma frase de recuperação já gerada, ou a documentação solicitar que você ‘insira sua frase no aplicativo’, é uma farsa. Destrua-o imediatamente”resume Joje Mendes.
De qualquer forma, lembre-se de que você nunca deve inserir sua frase de recuperação na interface do aplicativo Ledger. A empresa francesa nunca lhe pedirá isso. Em vez disso, ela recomenda que você anote a frase de recuperação em um meio off-line, como uma simples folha de papel.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.
Fonte :