Un ricercatore di sicurezza informatica brasiliano ha smascherato una truffa su larga scala dopo aver acquistato un portafoglio hardware "Ledger" da un marketplace cinese che sembrava legittimo e aveva lo stesso prezzo del negozio ufficiale. La confezione appariva originale da lontano, ma il dispositivo era contraffatto.
Quando il ricercatore ha collegato il dispositivo a Ledger Live, installato da ledger.com, il test di autenticità non è andato a buon fine, confermando che non si trattava di un dispositivo Ledger originale. Questo risultato negativo ha spinto il ricercatore ad aprire il dispositivo ed esaminarne l'hardware e il firmware interni.
Siti web clonati e applicazioni dannose
All'interno dell'involucro, il ricercatore ha trovato un chip completamente diverso, non del tipo utilizzato nei portafogli hardware. Le marcature del chip erano state fisicamente rimosse per nasconderne l'identificazione. Come riportato dal ricercatore su Reddit, il dispositivo conteneva anche un'antenna Wi-Fi e Bluetooth, assente in un vero Ledger Nano S+. Analizzando il layout del chip, è stato possibile identificarlo come un ESP32-S3 con memoria flash interna.
All'avvio, il dispositivo si è inizialmente mascherato da Ledger Nano S+ 7704, mostrando numeri di serie e l'identità di fabbrica di Ledger, ma in seguito ha rivelato il suo vero produttore: Espressif Systems.
Dopo aver estratto il firmware e averlo sottoposto a reverse engineering, il ricercatore ha scoperto che il PIN creato sul dispositivo era memorizzato in chiaro. Anche le frasi di recupero dei portafogli generati sul dispositivo erano memorizzate in chiaro. Il firmware conteneva inoltre diversi riferimenti di dominio codificati che puntavano a server di comando e controllo esterni. Queste scoperte hanno rivelato che il dispositivo era stato progettato per raccogliere dati sensibili dei portafogli, con collegamenti a server esterni.
Il ricercatore ha anche esaminato come l'attacco potesse funzionare nella pratica. Sebbene l'hardware contenesse un'antenna Wi-Fi e Bluetooth, il firmware non mostrava alcuna prova di trasmissione dati wireless o di connessioni a punti di accesso Wi-Fi. Inoltre, non conteneva script USB dannosi per l'iniezione di sequenze di tasti o comandi da terminale. L'attacco sembrava invece basarsi sull'interazione dell'utente al di fuori del dispositivo stesso.
Secondo quanto affermano, la truffa inizia quando un utente scansiona un codice QR incluso nella confezione. Questo codice QR conduce a un sito web clonato che assomiglia a ledger.com. Da lì, agli utenti viene chiesto di scaricare una falsa applicazione "Ledger Live" per Android, iOS, Windows o Mac. La falsa app mostra una schermata di verifica di autenticità contraffatta che viene sempre approvata. Gli utenti creano quindi i portafogli e annotano le frasi di recupero, credendo che la procedura sia sicura. Nel frattempo, la falsa app trasferisce le frasi di recupero a server controllati dagli hacker.
Il ricercatore ha decompilato la versione APK Android della falsa app Ledger Live e ha scoperto ulteriori comportamenti dannosi. L'app era stata sviluppata con React Native e il motore Hermes. Era firmata con un certificato di debug Android anziché con una chiave di firma valida. Intercettava i comandi APDU tra l'app e il dispositivo, effettuava richieste furtive a server esterni e continuava a funzionare in background per diversi minuti dopo essere stata chiusa.
Richiedeva inoltre l'accesso alla posizione e monitorava i saldi dei portafogli utilizzando le chiavi pubbliche, consentendo così agli aggressori di tracciare depositi e importi.
Non è un difetto nella sicurezza del registro
Il ricercatore ha affermato che non si tratta di una vulnerabilità zero-day né di un difetto nella progettazione della sicurezza di Ledger. È stato confermato che le funzionalità Genuine Check e Secure Element di Ledger funzionano correttamente. Si tratta invece di un'operazione di phishing che combina hardware contraffatto, app dannose e infrastrutture esterne. L'operazione completa include dispositivi hardware con chip ESP32-S3, app infette da trojan per Android e altre piattaforme, e server di comando e controllo utilizzati per l'esfiltrazione dei dati.
Il ricercatore ha inoltre aggiunto che in passato sono già stati segnalati dispositivi Ledger contraffatti, ma questo caso è diverso perché mappa l'intero sistema, inclusi hardware, app, infrastruttura e distribuzione tramite una società di comodo collegata a inserzioni sui marketplace. Il ricercatore ha inviato una segnalazione al team di Customer Success di Ledger e sta preparando un'analisi tecnica completa con ulteriori approfondimenti sulle versioni del malware per Windows, macOS e iOS.
Qualche anno fa, un altro utente di Reddit ha segnalato di aver ricevuto un Ledger Nano X in una confezione dall'aspetto autentico, ma una lettera all'interno ha destato sospetti a causa di errori di ortografia e grammatica. La lettera affermava che si trattava di un dispositivo sostitutivo a seguito di una violazione dei dati.
Un esperto di sicurezza ha successivamente scoperto che il dispositivo aveva una chiavetta USB collegata al connettore USB, destinata alla diffusione di malware e al potenziale furto di dati.
L'articolo "Falso portafoglio Ledger smascherato con frasi di recupero e PIN nascosti per il furto di chip" è apparso per la prima volta su CryptoPotato .