BCGAME - Bônus diário grátis de 5BTC!- Carteira Ledger falsa encontrada em marketplace chinês com chip ESP32-S3
- Firmware armazenava seed phrases e PINs em texto simples sem criptografia
- Golpe combina hardware falsificado, app malicioso e servidores de controle
Um pesquisador de cibersegurança brasileiro desmontou uma operação de golpe sofisticada após adquirir uma carteira hardware supostamente Ledger em um marketplace chinês. O produto tinha preço idêntico ao da loja oficial e embalagem que enganava à primeira vista, mas o dispositivo era completamente falso.
Ao conectar o aparelho ao Ledger Live baixado diretamente do site oficial, o sistema falhou imediatamente no Genuine Check — confirmando que o hardware não era legítimo. Isso levou o pesquisador a abrir o dispositivo e analisar seus componentes internos.
Chip diferente e antenas escondidas
Dentro da carcaça original, havia um chip completamente distinto dos utilizados em carteiras hardware reais. As marcações do componente tinham sido raspadas fisicamente para esconder a identificação. O dispositivo também carregava uma antena Wi-Fi e Bluetooth, ausentes em qualquer Ledger Nano S+ genuíno.
Após análise do layout interno, o chip foi identificado como um ESP32-S3 com memória flash interna, fabricado pela Espressif Systems — informação que o próprio firmware revelou após a inicialização.
Dados sensíveis armazenados sem proteção
Com o firmware extraído e engenharia reversa aplicada, o pesquisador descobriu que o PIN criado no dispositivo era salvo em texto simples. As seed phrases geradas também ficavam armazenadas sem nenhuma proteção. Além disso, o firmware continha referências a domínios externos ligados a servidores de comando e controle.
O golpe começa no QR code da embalagem
O ataque principal não dependia de transmissão sem fio direta. Tudo começava quando o usuário escaneava um QR code dentro da caixa, sendo direcionado a um site clonado do ledger.com. De lá, era induzido a baixar um aplicativo falso do Ledger Live para Android, iOS, Windows ou Mac.
O app exibia uma tela de Genuine Check falsificada que sempre aprovava o dispositivo. Enquanto o usuário criava carteiras e anotava suas seed phrases achando estar seguro, o aplicativo enviava esses dados para servidores controlados pelos atacantes.
App Android repleto de comportamentos maliciosos
O pesquisador decompilou o APK Android do falso Ledger Live e encontrou comportamentos altamente suspeitos. O aplicativo foi construído com React Native e o motor Hermes, assinado com certificado de depuração Android em vez de uma chave de assinatura adequada.
Ele interceptava comandos APDU entre app e dispositivo, realizava requisições ocultas para servidores externos e continuava rodando em segundo plano por vários minutos após ser fechado. O app ainda solicitava permissões de localização e monitorava saldos de carteiras por meio de chaves públicas.
Não é falha da Ledger
O pesquisador deixou claro que não se trata de uma vulnerabilidade zero-day nem de falha no design de segurança da Ledger. O Genuine Check e o Secure Element da empresa funcionaram corretamente. O que foi mapeado é uma operação de phishing que combina hardware falsificado, aplicativos maliciosos e infraestrutura externa para exfiltração de dados.
O caso se diferencia de relatos anteriores de Ledgers falsas por documentar todo o ecossistema do golpe: hardware com chips ESP32-S3, apps trojanizados para múltiplas plataformas e servidores de controle ligados a uma empresa de fachada em marketplaces. Um relatório completo foi enviado à equipe da Ledger, com análise técnica adicional das versões para Windows, macOS e iOS ainda em preparação.
