Celulares Android baratos fabricados por empresas chinesas estão sendo vendidos com aplicativos falsos do WhatsApp e Telegram já instalados, contendo um malware voltado a roubar criptomoedas dos usuários. Segundo a empresa de segurança russa Doctor Web, os aplicativos são trojans com funções de “clipper” — substituindo endereços de carteiras de criptomoedas por endereços controlados por criminosos.

O ataque ocorre na cadeia de suprimentos: os celulares saem de fábrica com os apps maliciosos pré-instalados. A maioria dos dispositivos afetados imita modelos populares como Samsung S23 Ultra e Huawei P70 Ultra, sendo vendidos por marcas como SHOWJI. Os atacantes também falsificam informações exibidas pelo sistema e por apps de diagnóstico, dando a falsa impressão de que os aparelhos rodam Android 14 com hardware avançado.

O malware, batizado de Shibai, é inserido nos apps legítimos usando a ferramenta de código aberto LSPatch. Cerca de 40 aplicativos, entre mensageiros e leitores de QR code, foram modificados. O trojan intercepta mensagens que contenham endereços de carteiras Ethereum ou Tron e os substitui por endereços dos criminosos, sem que o usuário perceba. Além disso, o malware coleta informações do dispositivo, mensagens do WhatsApp e imagens (.jpg, .png, .jpeg) de pastas como DCIM, Downloads e Documentos, buscando por frases mnemônicas usadas para recuperar carteiras de criptoativos.

A campanha ainda usa mais de 30 domínios e 60 servidores de comando para controlar os ataques. Análises apontam que os criminosos já arrecadaram mais de US$ 1,6 milhão. Outro malware, chamado Gorilla, foi identificado pela PRODAFT: ele coleta dados sensíveis e se comunica de forma persistente com um servidor remoto. Apps infectados com o trojan FakeApp também foram encontrados na Google Play Store, simulando jogos populares e capazes de abrir sites fraudulentos.