A aplicação para controle sobre preços da moeda digital é é um Trojan cuidadosamente camuflado.
Se receber uma mensagem de spam anunciando uma aplicação chamada “Alarm Bitcoin “, o nome diz tudo o que precisa de saber. A aplicação de desktop para Windows envia alertas sobre os preços, por SMS, para um telemóvel.
Mas um exame mais detalhado sobre o seu código revela várias características suspeitas: a aplicação pode tentar roubar a moeda digital, diz Kenny MacDermid, investigador de segurança da Arbor Networks. Os incrementos do valor da Bitcoin este ano têm atraído grande interesse por parte dos investidores, mas também dos cibercriminosos.
A segurança das Bitcoins é garantida por cifra de chave pública, e se a chave privada for obtida, a moeda digital pode ser rapidamente roubada. MacDermid recebeu três mensagens de spam num dia de promoção à Bitcoin Alarm.
“Ignorei as duas primeiras vezes, mas o emissor devia querer que eu realmente olhasse para elas, e quem sou eu para não corresponder?”, afirmou. Escondido na Bitcoin Alarm está um script capaz de verificar se o software de segurança do Avast está em execução. Se assim for, o script fica parado por 20 segundos.
“Há uma hipótese bastante consistente de que se um software está a tentar detectar a presença de um mecanismo antivírus, não tem propósitos muito bons “, MacDermid escreveu. O ficheiro cifrado acabou por revelar-se um Trojan de acesso remoto chamado NetWiredRC, capaz de ser usado para roubar credenciais de login e, neste caso, Bitcoins.
MacDermid submeteu a Bitcoin Alarm a uma análise no VirusTotal, serviço online para análise de programas suspeitos – usa mais de quatro dezenas de suites de antivírus. Na primeira passage, apenas o produto da Kaspersky Lab detectou a Bitcoin Alarme, embora mais suites de antivírus estejam a assinala-la agora, revela MacDermid.