Um novo e preocupante golpe está atingindo usuários da Snap Store, o repositório central de aplicativos Snap mantido pela Canonical para distribuição no Linux. Criminosos estão explorando uma vulnerabilidade inusitada: o vencimento de domínios de publicadores legítimos para assumir o controle de contas antigas e distribuir atualizações maliciosas.
De contas falsas a domínios sequestrados
Por mais de um ano, pesquisadores de segurança como Alan Pope (ex-funcionário da Canonical e mantenedor de dezenas de snaps) documentaram uma campanha persistente de snaps falsos de carteiras de criptomoedas. Estes aplicativos, que se passavam por Exodus, Ledger Live ou Trust Wallet, roubaram as frases de recuperação de alguns usuários, resultando em perdas financeiras.
Naquela época, os golpistas criavam contas de publicador novas do zero. Agora, a tática mudou e se tornou mais sofisticada e perigosa. Os atacantes monitoram o Snap Store em busca de publicadores cujos domínios associados expiraram. Quando um domínio (como seudominio.tech) é perdido por falta de renovação, os criminosos o registram para si.
Com o domínio em mãos, eles acionam a recuperação de senha da conta do Snap Store vinculada a ele e assumem o controle de uma identidade de publicador estabelecida e aparentemente confiável. A partir daí, podem enviar atualizações maliciosas para snaps que usuários já tem instalados e nos quais confiam.
Confiança minada na raiz
Dois domínios já identificados nesse esquema são storewise.tech e vagueentertainment.com. Em ambos os casos, snaps previamente benignos foram atualizados para conter malware de roubo de carteiras, sem alterações visíveis na reputação do publicador.
Isso representa uma escalada significativa na ameaça. Antes, um usuário atento podia desconfiar de snaps publicados por contas novas. Agora, um aplicativo instalado há três anos de um publicador “respeitável” pode, da noite para o dia, receber uma atualização que drena suas criptomoedas. O golpe mina um dos poucos sinais de confiança que restavam: a longevidade e histórico do publicador.
Os snaps maliciosos analisados possuem um modus operandi padrão:
- Renderizam uma interface web similar à de uma carteira legítima;
- Testam a conectividade com um servidor de comando e controle;
- Se o usuário inserir sua frase de recuperação, ela é transmitida instantaneamente para os servidores dos atacantes.
Recomendações para usuários e publicadores
Para conter essa ameaça, são necessárias ações de ambos os lados. Para publicadores de Snaps, a melhor prática é manter o registro de seus domínios sempre atualizado. Um domínio expirado é uma porta aberta para este ataque. Além disso, ative a autenticação de dois fatores (2FA) em sua conta do Snap Store. Lembre-se, não basta criar um software, é preciso mantê-lo e avisar os usuários se em algum momento decidir abandonar.
Para usuários do Snap Store, tenha extrema cautela com apps de criptomoedas: evite instalar carteiras de criptomoedas a partir de lojas de aplicativos de terceiros. Sempre baixe por links fornecidos no site oficial do projeto. Se existir essa opção, pode ser uma boa ideia preferir utilizar diretamente de um navegador seguro, consolidado e sem extensões instaladas. Denuncie aplicativos suspeitos utilizando o botão “Denunciar este aplicativo” na página do snap no Snap Store.
A Canonical, por sua parte, precisa reforçar seus mecanismos de defesa. Monitorar a expiração de domínios de publicadores, exigir verificação adicional para contas inativas ou tornar o 2FA obrigatório são possíveis caminhos.
Este incidente é uma demonstração de que em ecossistemas de software que dependem de confiança e automação, a segurança é uma responsabilidade contínua e compartilhada entre mantenedores, publicadores e usuários. A conveniência das atualizações automáticas não pode vir à custa da segurança.
Fique por dentro das principais notícias da semana sobre o mundo da tecnologia e do Linux, assine nossa newsletter!