Falha no Android deixa 30 milhões de carteiras de criptomoedas vulneráveis a ataques: Analistas da Microsoft

Uma correção esteve disponível há quase um ano, mas milhões de utilizadores de Android ainda podem estar a usar aplicações de carteira de criptomoedas vulneráveis — deixando os seus fundos e chaves privadas expostos a uma falha de segurança conhecida.

A Equipa de Pesquisa de Segurança da Microsoft tornou pública na semana passada detalhes de uma vulnerabilidade que detectou pela primeira vez em abril de 2025. A falha residia dentro de um componente de software amplamente utilizado chamado SDK EngageLab, versão 4.5.4.

Porque esse SDK está incorporado em milhares de aplicações Android, uma única aplicação maliciosa poderia desencadear uma reação em cadeia que se estendesse muito além de si própria.

Como Funciona o Ataque

O método é chamado de “redirecionamento de intent”. Uma aplicação atacante envia uma mensagem especialmente criada para qualquer aplicação que esteja a usar a versão vulnerável do SDK. Assim que essa mensagem chega, a aplicação alvo é enganada a conceder acesso de leitura e escrita aos seus próprios dados — incluindo frases de semente armazenadas e endereços de carteiras.

O sistema de sandbox integrado do Android, que normalmente impede que aplicações acessem os dados umas das outras, foi completamente contornado. Segundo a Microsoft, o ataque afetou mais de 50 milhões de aplicações em todo o ecossistema Android, sendo aproximadamente 30 milhões delas carteiras de criptomoedas.

A vulnerabilidade não exigiu que o utilizador fizesse algo errado. Sem links suspeitos. Sem páginas de phishing. Basta ter as aplicações erradas instaladas ao mesmo tempo para que o problema exista.

Resposta da Microsoft e do Google

A Microsoft agiu rapidamente após a descoberta. Em maio de 2025, a empresa envolveu o Google e a Equipa de Segurança do Android na resposta. A EngageLab lançou uma versão corrigida — SDK 5.2.1 — pouco tempo depois.

Relatórios indicam que tanto a Microsoft quanto o Google têm orientado os utilizadores sobre como verificar se as suas aplicações de carteira foram atualizadas através do Google Play Protect.

Os responsáveis também apontaram para uma preocupação mais ampla: aplicações instaladas como ficheiros APK de fora da Play Store estão em maior risco, pois contornam as verificações de segurança que o Google aplica às aplicações listadas no seu marketplace oficial.

O que os Utilizadores Devem Fazer Agora

Para a maioria dos utilizadores que atualizam as suas aplicações regularmente, o risco provavelmente já passou. Mas para quem não atualizou desde meados de 2025, a ação recomendada vai além de uma simples atualização da aplicação.

As equipas de segurança aconselham esses utilizadores a transferir os fundos para carteiras completamente novas, geradas com frases de semente frescas. Qualquer carteira que esteve ativa e sem patches durante o período de exposição deve ser considerada potencialmente comprometida.

A divulgação ocorre juntamente com uma vulnerabilidade separada no chip do Android, sinalizada no mês anterior, e uma nova iniciativa do Tesouro dos EUA que associa agências governamentais a empresas de criptomoedas para partilhar informações sobre ameaças de cibersegurança — um sinal de que a segurança móvel no espaço das criptomoedas está a chamar atenção nos mais altos níveis.

Imagem em destaque do Bleeping Computer, gráfico do TradingView