Campanha de malware expõe até 10 milhões a falsos apps de criptomoedas, diz Check Point

Anúncio

São Paulo, 9 jul. 2025 – A empresa de cibersegurança Check Point Research alertou que cerca de 10 milhões de pessoas em todo o mundo podem ter sido expostas a anúncios on-line que promovem aplicativos de criptomoedas falsos e infectados por malware.

Operação identificada como JSCEAL

De acordo com o relatório divulgado nesta terça-feira (9), a campanha, batizada de JSCEAL, está em atividade desde pelo menos março de 2024 e evoluiu ao longo do tempo. Os criminosos utilizam anúncios patrocinados para induzir usuários a instalar versões fraudulentas de quase 50 aplicativos populares de negociação de criptoativos, entre eles Binance, MetaMask e Kraken.

35 mil anúncios maliciosos em seis meses

Ferramentas de publicidade da Meta revelaram que 35 mil anúncios suspeitos circularam no primeiro semestre de 2025, gerando “alguns milhões” de visualizações apenas na União Europeia. A Check Point estima que, no bloco europeu, ao menos 3,5 milhões de pessoas tenham sido expostas à fraude. Como a operação também imita instituições financeiras asiáticas — onde o número de usuários de redes sociais é maior —, o alcance global pode superar 10 milhões de pessoas.

Técnicas de evasão dificultam detecção

Segundo a Check Point, a variante mais recente do malware emprega métodos de evasão inéditos, resultando em taxas de detecção extremamente baixas. Quando a vítima clica no anúncio, é direcionada a um site que parece legítimo, de onde baixa o software malicioso. O site do atacante e o instalador do programa operam simultaneamente, o que complica a análise e a identificação isolada da ameaça.

O aplicativo falsificado abre uma interface que remete ao site real do serviço supostamente instalado, enquanto, em segundo plano, coleta dados sensíveis — principalmente informações ligadas a criptoativos.

JavaScript obfuscado e coleta de dados

Desenvolvido em JavaScript, o malware reúne código compilado e forte ofuscação, tornando a investigação técnica “desafiadora e demorada”, conforme o relatório. O objetivo principal é extrair o máximo de informações possível do dispositivo infectado. Entre os dados coletados estão:

Imagem: Trader Iniciante 2 (9)

• Digitação de teclado, que pode revelar senhas;
• Credenciais do Telegram;
• Senhas salvas em preenchimento automático;
• Cookies de navegação, que indicam sites acessados;
• Manipulação de extensões de navegador voltadas a criptomoedas, como a MetaMask.

A companhia ressalta que softwares antimalware capazes de detectar execuções maliciosas em JavaScript podem barrar a ação em dispositivos já comprometidos.

Não há, até o momento, estimativa oficial do número de vítimas que efetivamente tiveram dados roubados ou valores desviados.

Com informações de Cointelegraph