Carteira Falsa Ledger Nano S+: O Golpe Quase Perfeito

O Alerta de um Profissional

Joje Mendes, um especialista em cibersegurança brasileiro, esteve à beira de cair em um ataque de phishing altamente sofisticado. A armadilha: uma carteira de hardware de criptomoedas falsa, um clone da popular Ledger Nano S+. A detecção precoce só foi possível graças ao software oficial da Ledger, que identificou a ilegitimidade do hardware.

A Compra Suspeita

A história começou quando Mendes optou por comprar o dispositivo em um “grande marketplace” na China. A decisão foi estratégica, pois, como cidadão não chinês em Shenzhen, importar diretamente da Ledger geraria “muitas dores de cabeça”. Apesar do preço ser o mesmo de uma unidade legítima, a desconfiança de Mendes o levou a instalar o software oficial da Ledger antes mesmo da chegada do aparelho.

Desmascarando a Fraude

Conforme suas suspeitas, ao receber o dispositivo, Mendes confirmou que era uma falsificação “claramente” visível, fato corroborado pelo software da Ledger. Fiel à sua profissão, ele desmontou o aparelho em vez de descartá-lo, revelando um esquema elaborado que, sem dúvida, estaria enganando inúmeros usuários desavisados.

A Tecnologia por Trás do Golpe

Ao abrir o invólucro, Mendes notou que todas as marcações dos chips haviam sido raspadas. Contudo, conseguiu identificar a unidade central como um sistema-em-um-chip (SoC) ESP32-S3. O dispositivo falsificava sua identificação, apresentando-se como um “Nano S+ 7704” da fábrica da Ledger, completo com um número de série. Uma inspeção do firmware revelou rapidamente seu PIN de teste e as frases-semente (seed phrases) para duas carteiras, além de credenciais codificadas para servidores de comando e controle (C2) projetados para roubar dados.

Como os Dados São Roubados

• Inicialmente, Mendes pensou que a exfiltração de dados ocorreria via Wi-Fi ou Bluetooth, ou talvez por um keylogger USB.
• No entanto, descobriu que um aplicativo falso da Ledger era o verdadeiro responsável pela coleta de dados.
• Usuários desavisados são direcionados a uma página que imita perfeitamente ledger.com, onde podem baixar apps maliciosos para Android, Windows ou macOS.
• O aplicativo falso era assinado com um certificado de depuração Android, rastreava a localização do dispositivo mesmo após ser fechado e enviava informações para os servidores C2.
• Para piorar, o firmware monitorava os saldos das contas através das chaves públicas, provavelmente alertando os criminosos sobre novos depósitos.

O Alvo dos Golpistas

O especialista acredita que este dispositivo é vendido principalmente para novos usuários de criptomoedas que buscam a segurança adicional de uma carteira de hardware. É fácil imaginar como o golpe funcionaria, já que até mesmo um profissional exausto poderia, por engano, usar um link de download na embalagem em vez de acessar diretamente ledger.com.

Ações e Recomendações

Mendes notificou a Ledger sobre a elaborada operação de phishing e prometeu adquirir mais dispositivos para investigar a fundo. Este incidente serve como um alerta crucial:

• Sempre compre carteiras de hardware de criptomoedas ou qualquer dispositivo de segurança diretamente do fabricante ou de um revendedor oficial e autorizado.
• A vigilância e a verificação são essenciais para proteger seus ativos digitais.