Descoberta e modelo de distribuição
Pesquisadores da Cyfirma documentaram o malware, que circula em builds apelidados de "Coin" e é distribuído via canais como Telegram. O pacote registrado aparece como com.pureabuladon.auxes e o painel de controle dos operadores sugere organização comercializada em equipes com IDs de agente e esquema de comissões.
Capacidades técnicas
- Comunicação persistente por WebSocket com servidor de comando e controle identificado: apivbe685jf829jf[.]a2decxd8syw7k[.]top.
- Dinamic class loading, injeção stealth em WebView, overlays e falsificação de telas de import/restore de carteiras.
- Validação BIP39 local (carrega wordlist no ativo) para garantir captura apenas de frases válidas e reduzir erros de digitação.
- Escalada de permissões após instalação para coletar SMS, executar comandos remotos e exfiltrar dados.
Alvo e impacto
SeedSnatcher é direcionado a usuários de carteiras móveis como Trust Wallet, TokenPocket, MetaMask, Coinbase Wallet, e outros (a campanha mapearia interfaces para cada carteira). Quando a vítima abre a carteira legítima, um overlay falso solicita a frase de recuperação; a validação BIP39 assegura que apenas frases importáveis chegam ao atacante, que as exfiltra para controle imediato dos ativos.
Indícios operacionais
O painel de operadores, UI em chinês nos demos e a estrutura comercial da campanha sugerem atores com experiência e foco financeiro; as fontes descrevem um ecossistema ativo com dispositivos já comprometidos.
Mitigações e recomendações
- Evitar instalar APKs de fontes não verificadas e não aceitar solicitações de overlays que peçam frases de recuperação.
- Manter carteira de valores maiores em cold wallets; usar wallets segregadas para uso diário.
- Auditar permissões de aplicações Android e restringir overlays e accessibilidade quando não necessários.
Limitações das informações
As fontes técnicas apontam IOCs e o domínio de C2, mas não fornecem contagem pública de vítimas ou valores roubados consolidados na divulgação usada pela matéria.