Hackers do Brasil Usam Falsa Google Play Store para Minerar Cripto e Roubar USDT

Hackers no Brasil têm operado uma página falsa da Google Play Store projetada para enganar utilizadores Android a descarregar malware que sequestra os seus telemóveis para mineração de criptomoedas e rouba USDT das suas carteiras.

A campanha tem como alvo a base de utilizadores cripto em rápido crescimento do Brasil com uma montra fraudulenta que replica visualmente a Google Play Store legítima. As vítimas são direcionadas para a página falsa através de táticas de engenharia social, incluindo malvertising e links de phishing distribuídos via SMS e redes sociais.

Uma vez na página falsificada, os utilizadores são solicitados a descarregar o que parecem ser aplicações Android legítimas. Os downloads são na verdade ficheiros APK maliciosos contendo uma carga de malware de dupla finalidade.

Como a Falsa Google Play Store Está a Atrair Utilizadores Android Brasileiros

A montra falsa imita de perto o mercado oficial de aplicativos da Google, copiando o seu layout, marca e formato de listagem de aplicativos. O nível de detalhe torna difícil para utilizadores casuais distinguir a página fraudulenta da verdadeira.

Os atacantes usam múltiplos mecanismos de entrega para direcionar as vítimas para o URL falso. Estes incluem campanhas pagas de malvertising em plataformas sociais, mensagens de phishing enviadas via SMS e links partilhados em grupos do Telegram e WhatsApp focados em criptomoedas populares no Brasil.

Os APKs maliciosos são disfarçados como aplicativos de utilidade comuns ou, em alguns casos, como aplicativos de carteira e negociação de criptomoedas. Como os ficheiros são instalados lateralmente em vez de instalados através da Play Store oficial, eles contornam completamente o scanning de segurança do Google Play Protect.

Esta é uma distinção crítica: o Play Protect apenas cobre aplicativos distribuídos através do canal oficial da Google, deixando APKs instalados lateralmente sem verificação.

O Brasil tornou-se um alvo principal para estas campanhas. O país tem uma das maiores bases de utilizadores cripto na América Latina, com milhões de detentores a gerir ativos digitais em dispositivos móveis.

Essa combinação de alta adoção e uso generalizado do Android cria condições ideais para os atacantes. Campanhas semelhantes de lojas de aplicativos falsas já visaram utilizadores cripto no Sudeste Asiático e no Leste Europeu.

Malware Sequestra Telemóveis para Minerar Cripto e Drenar Carteiras USDT

Uma vez instalado, o malware executa um ataque de carga dupla. O primeiro componente é um cryptojacker que silenciosamente assume o CPU do dispositivo para minerar criptomoedas em segundo plano sem o conhecimento ou consentimento do utilizador.

As vítimas normalmente notam a atividade de mineração apenas através de sintomas secundários: drenagem rápida da bateria, sobreaquecimento e degradação significativa do desempenho. Estes sinais são frequentemente confundidos com envelhecimento geral do telemóvel ou bugs de software, permitindo que o malware opere sem ser detetado por períodos prolongados.

O segundo componente, mais prejudicial, visa diretamente as participações em USDT. O malware usa sequestro de área de transferência para intercetar transações de criptomoedas. Quando um utilizador copia um endereço de carteira USDT para enviar fundos, o malware substitui-o silenciosamente por um endereço controlado pelo atacante.

A menos que o remetente verifique manualmente cada caractere do endereço colado antes de confirmar, os fundos vão diretamente para os hackers. Este tipo de ataque de phishing baseado em trojan tornou-se cada vez mais comum em plataformas móveis.

O USDT é a stablecoin mais amplamente detida entre utilizadores a retalho globalmente, tornando-o um alvo especialmente lucrativo. Ao contrário de criptomoedas voláteis, o USDT roubado mantém o seu valor indexado ao dólar, dando aos atacantes liquidez imediata e estável que é fácil de converter ou branquear.

O design de dupla finalidade maximiza os retornos para os atacantes. A mineração gera um fluxo de rendimento passivo de cada dispositivo infetado, enquanto o sequestrador de área de transferência aguarda oportunidades de transações de alto valor. Mesmo uma única transferência de USDT intercetada pode render milhares de dólares, tornando a operação especialmente prejudicial para utilizadores que detêm saldos significativos de stablecoin em dispositivos móveis.

Este tipo de roubo direcionado faz parte de um padrão mais amplo de perdas em larga escala que atingem detentores de cripto através de vários vetores de ataque.

O Que os Utilizadores Android Devem Fazer para Proteger as Suas Criptomoedas

Os utilizadores Android enfrentam maior exposição a este tipo de ataque do que os utilizadores iOS. O Android permite a instalação lateral de aplicativos de fontes fora da loja oficial por padrão, enquanto o iOS restringe instalações à App Store a menos que um dispositivo seja desbloqueado.

A defesa mais eficaz é direta: apenas descarregue aplicativos diretamente da Google Play Store oficial navegando manualmente para play.google.com ou usando o aplicativo Play Store pré-instalado. Nunca instale aplicativos de links recebidos via SMS, email, redes sociais ou aplicativos de mensagens.

Os utilizadores devem verificar se o Google Play Protect está ativado nos seus dispositivos abrindo a Play Store, tocando no ícone do perfil e selecionando "Play Protect". Isto fornece scanning básico para malware conhecido, embora não possa proteger contra ameaças que são instaladas lateralmente de fontes externas.

Para qualquer pessoa que detenha quantidades significativas de USDT ou outros ativos cripto, manter fundos num dispositivo móvel representa um risco inerente. Investigadores de segurança recomendam usar uma carteira de hardware para armazenamento a longo prazo e tratar carteiras móveis como transportando apenas o que pode perder.

Um dispositivo dedicado para transações cripto, separado da navegação diária e uso de aplicativos, adiciona outra camada de proteção. À medida que jogadores institucionais continuam a investir fortemente em ativos digitais, o valor crescente fluindo através do ecossistema cripto apenas aumenta os incentivos para os atacantes.

Ao enviar cripto de qualquer dispositivo, verifique sempre duas vezes o endereço de destino completo após colar, não apenas os primeiros e últimos caracteres. Os sequestradores de área de transferência frequentemente geram endereços que correspondem ao início e fim do endereço do destinatário pretendido para evitar verificação casual.

O mercado cripto em rápida expansão do Brasil, onde o Bitcoin e outros ativos digitais têm visto ação de preço volátil recentemente, torna o país um alvo de alto valor para campanhas de malware móvel. À medida que a adoção cripto cresce na América Latina, a consciência de segurança precisa de acompanhar as ameaças que visam detentores a retalho nos seus dispositivos mais pessoais.

Aviso: Este artigo é apenas para fins informativos e não constitui aconselhamento financeiro ou de investimento. Os mercados de criptomoedas e ativos digitais acarretam riscos significativos. Faça sempre a sua própria pesquisa antes de tomar decisões.