Perigo à vista: usuário compra carteira de hardware Ledger Nano S+ falsa e quase cai em golpe de phishing

Um alerta importante para quem se preocupa com segurança e hardware: Joje Mendes, um profissional brasileiro de cibersegurança, quase caiu em um elaborado ataque de phishing envolvendo hardware e software, que se apresentava na forma de uma carteira de criptomoedas Ledger Nano S+ falsificada. A única proteção entre as criptomoedas de Mendes e os operadores remotos do dispositivo era o software da Ledger, que confirmava que ele estava rodando em um hardware legítimo.

A história começou quando Mendes decidiu adquirir o dispositivo em um “grande mercado” da China. Optou por essa compra, já que, como não cidadão chinês e residindo em Shenzhen, importar diretamente da Ledger trazia várias complicações. Embora o preço fosse similar ao de uma unidade original, Mendes permaneceu cauteloso e instalou o software oficial da Ledger antes mesmo do recebimento do Nano S+.

Assim que o dispositivo chegou, Mendes percebeu que era claramente uma falsificação, o que foi confirmado pelo software da Ledger, que o identificou como não genuíno. Em vez de descartar o produto, Mendes decidiu desmontá-lo e encontrou uma trama complexa que provavelmente está enganando outros usuários desavisados.

Após abrir o dispositivo, Mendes verificou que todas as marcações dos chips haviam sido apagadas, mas conseguiu identificar a unidade central como um sistema em chip ESP32-S3. O aparelho se apresentava como um “Nano S+ 7704” da fábrica da Ledger, inclusive com um número de série. Ao analisar o firmware, Mendes encontrou seu PIN de teste e frases-semente para duas carteiras, além de credenciais codificadas para acessar servidores de comando e controle.

O que surpreendeu Mendes foi a presença de antenas Wi-Fi e Bluetooth, que o levaram a pensar que os dados poderiam ser coletados através dessas redes ou via um keylogger USB. No entanto, descobriu que uma aplicação falsa da Ledger era responsável pela coleta de dados. Usuários desavisados eram levados a uma página que imitava o site ledger.com, onde poderiam baixar aplicativos maliciosos para Android, Windows ou macOS.

Mendes examinou o aplicativo e constatou que ele era assinado com um certificado de depuração do Android, rastreando a localização do dispositivo mesmo após ser fechado e enviando dados para os servidores de controle. O código QR para o download, que provavelmente estava na embalagem ou nas instruções, também era comprometido. Para piorar, o firmware monitorava os saldos das contas por meio de chaves públicas, permitindo que os ladrões soubessem quando havia depósitos.

O especialista acredita que esse tipo de dispositivo é direcionado a novos usuários de criptomoedas, que buscam a segurança extra oferecida por uma carteira de hardware. Não é difícil imaginar que até mesmo um profissional cansado poderia acabar utilizando o link de download na caixa, sem recorrer diretamente ao site oficial da Ledger.

Mendes notificou a Ledger sobre essa operação de phishing elaborada e publicou atualizações, afirmando a intenção de adquirir mais dispositivos para investigar o assunto mais a fundo. É essencial lembrar que, ao comprar uma carteira de criptomoedas ou qualquer dispositivo relacionado à segurança, é sempre mais seguro adquiri-lo diretamente do fabricante ou de um revendedor oficial.