Coinspeaker

© 2025 Coinspeaker LTD. ALL RIGHTS RESERVED.

Vírus do WhatsApp mira em carteiras de criptomoedas

Os ataques têm como alvo os usuários brasileiros.

Leonardo Cavalcanti By Leonardo Cavalcanti Flavio Aguilar Edited by Flavio Aguilar Atualizado em 4 mins read
Vírus do WhatsApp mira em carteiras de criptomoedas

Resumo da notícia

  • Vírus que se espalha pelo WhatsApp coloca em risco carteiras de criptomoedas e apps bancários.
  • O malware utiliza automação para enviar mensagens maliciosas para todos os contatos da vítima.
  • O trojan monitora e rouba credenciais, seed phrases e chaves privadas de exchanges e carteiras.
  • A campanha mira especificamente usuários brasileiros, ativando o ataque somente quando o sistema está configurado em português do Brasil.

Na quarta-feira (19/11), pesquisadores da Trustwave SpiderLabs identificaram uma campanha maliciosa que combina um worm — uma espécie de vírus — no WhatsApp com o trojan bancário Eternidade Stealer.

O mais curioso? Os ataques têm como alvo os usuários brasileiros. O principal objetivo é roubar credenciais de bancos tradicionais e carteiras/exchanges de criptomoedas, aproveitando a popularidade do aplicativo de mensagens no país.

Como funciona o ataque

O ataque começa com a propagação automática de mensagens maliciosas via WhatsApp. O worm escrito em linguagem Python utiliza técnicas para automatizar o envio de arquivos ou links para a lista de contatos da vítima. Ele evita grupos ou listas de transmissão comerciais para parecer mais natural e barrar a defesa do aplicativo.

Uma vez que o aparelho é comprometido, um instalador (arquivo MSI) libera o trojan Eternidade Stealer, escrito em Delphi, o qual tem capacidade de monitorar aplicações financeiras e carteiras de criptomoedas para realizar o roubo de credenciais, chaves privadas e demais dados sensíveis. Então, criptomoedas promissoras das vítimas podem acabar drenadas pelos criminosos.

Brasileiros são foco do ataque

O foco principal da campanha são os usuários brasileiros, segundo a Trustwave SpiderLabs. O código do malware verifica se o sistema está configurado em português-Brasil, abortando a execução se isso não é confirmado. Além disso, o worm utiliza o recurso de ‘geofencing’, que limita a infecção a alvos no Brasil ou na América do Sul.

Embora o alvo seja o Brasil, a infraestrutura revela tentativas de conexão vindas de diversos países, o que sugere que a operação pode vir a se expandir ou que esforços de sondagem global estejam em curso.

Entre os alvos do malware estão bancos tradicionais, fintechs e diversas carteiras/exchanges de criptomoedas, como Binance, Coinbase, Trust Wallet e MetaMask.

Riscos e impactos para o usuário

Para quem opera com ativos digitais ou utiliza aplicativos bancários no smartphone ou computador, há riscos importantes:

  • Exposição de credenciais, seed phrases ou chaves privadas para carteiras cripto;
  • Acesso indevido a aplicativos financeiros, levando a movimentações não autorizadas;
  • Contaminação da lista de contatos no WhatsApp, o que pode gerar uma cadeia de infecções via amigos/família;
  • Dificuldade de detecção, já que o worm age por meio do WhatsApp da vítima, enquanto o trojan aguarda o uso de apps-alvo para ativar suas funções de roubo.

Como se proteger

Dada a gravidade do cenário, algumas boas práticas devem ser adotadas. Entre as medidas, está o ‘feijão com arroz’, como desconfiar de links ou arquivos recebidos via WhatsApp, mesmo que tenham sido enviados por conhecidos. Além disso, é essencial confirmar a veracidade fazendo contato direto.

Evite também clicar em downloads executáveis (arquivo MSI, scripts VBS) em aparelhos que acessam contas bancárias ou carteiras de criptomoedas. Atualize sempre seu sistema operacional, WhatsApp, antivírus e demais apps do dispositivo.

Para maior segurança, é recomendado ativar a autenticação em dois fatores (2FA) em contas bancárias e em carteiras cripto. Por fim, caso identifique um comportamento suspeito (como mensagens automáticas enviadas pelo seu WhatsApp, novos apps instalados sem permissão ou arquivos desconhecidos executados), considere desconectar o dispositivo da internet e alterar suas senhas/chaves imediatamente.

Para quem trabalha com cripto e fintechs: atenção redobrada

O fato de o malware visar especificamente carteiras e exchanges indica que o segmento de serviços financeiros digitais não é apenas um vetor, mas também um alvo direto. Para as empresas do setor, é crucial reforçar as políticas de segurança de acesso.

Tenha em mente que o ponto de entrada da cadeia fica muitas vezes fora do ambiente corporativo. Por exemplo, pode ser o smartphone de um cliente ou usuário.

Outro ponto para ser alvo de atenção das equipes de segurança: o vetor de propagação via WhatsApp sinaliza que aplicativos de mensagens não tradicionais (fora do ambiente de e-mail ou browser) estão cada vez mais sendo explorados para campanhas de malware.

Disclaimer: Coinspeaker está comprometido em fornecer reportagens imparciais e transparentes. Este artigo tem como objetivo fornecer informações precisas e oportunas. Mas não deve ser considerado como conselho financeiro ou de investimento. Como as condições do mercado podem mudar rapidamente, recomendamos que você verifique as informações por conta própria. E consulte um profissional antes de tomar qualquer decisão com base neste conteúdo.

Notícias de Criptomoedas
Leonardo Cavalcanti
Leonardo Cavalcanti

Leonardo Cavalcanti é jornalista especializado em criptomoedas, blockchain e finanças digitais. Além de tocar projetos próprios como o podcast BlockHistory. Também trabalha em desenvolvimento de negócios no ecossistema cripto como parceiro comercial Azify, com foco em parcerias estratégicas, tokenização e soluções de infraestrutura financeira.

Share:
Artigos Relacionados