Unity corrige falha crítica do mecanismo de jogo que pode atingir usuários de criptomoedas

A Unity Technology corrigiu uma grande vulnerabilidade que pode permitir que agentes mal-intencionados executem códigos maliciosos e acessem dados confidenciais do usuário, visando usuários de criptomoedas por meio de aplicativos criados com seu popular mecanismo de jogo Unity.

A Unity lançou um patch na sexta-feira, visando a falha que foi descoberta pela primeira vez em junho por pesquisadores de segurança e depois sinalizada internamente.

Quais são os riscos?

A violação se originou de uma falha no ambiente de compilação do Android da Unity que permitia a "injeção de código em processo", permitindo que software malicioso no mesmo dispositivo explorasse as permissões concedidas a aplicativos baseados em Unity, disseram duas pessoas familiarizadas com o assunto ao Cointelegraph.

Separadamente, uma pesquisa publicada pelo pesquisador da GMO Flatt Security, RyotaK, alertou que essa vulnerabilidade poderia dar aos malfeitores acesso a uma variedade de explorações, desde sobreposições não autorizadas até captura de entrada e captura de tela, colocando em risco informações confidenciais, como senhas e frases iniciais de wallet criptomoedas .

No entanto, mesmo sem o controle direto do dispositivo, o RyotaK alertou que os invasores ainda podem implantar técnicas furtivas para interceptar credenciais ou imitar interfaces de usuário confiáveis para induzir as pessoas a revelar informações confidenciais.

A vulnerabilidade afetou projetos baseados em Unity desde 2017, com aplicativos Android com a maior exposição.

Os sistemas Windows, macOS e Linux também foram afetados em graus variados, embora os pesquisadores ainda não tenham confirmado se a falha pode se transformar em uma aquisição total do dispositivo.

De acordo com fontes não identificadas citadas pelo Cointelegraph, os usuários de criptomoedas eram particularmente vulneráveis, especialmente porque os jogos para celular geralmente são instalados ao lado de carteiras ou outros aplicativos financeiros no mesmo dispositivo, aumentando assim a superfície de ataque para agentes mal-intencionados.

Notavelmente, os aplicativos de sideload, versões de jogos Unity distribuídos fora das lojas de aplicativos oficiais, podem representar a maior ameaça porque não são rastreados pelos sistemas de segurança do Google Play e não recebem atualizações ou patches automaticamente.

A partir de agora, a Unity Technologies diz que não tem evidências de que a vulnerabilidade tenha sido explorada na natureza, e o Google confirmou que nenhum aplicativo malicioso explorando a falha foi detectado na Play Store.

"O Google Play ajudará os desenvolvedores a lançar versões corrigidas de seus aplicativos o mais rápido possível. Com base em nossas detecções atuais, aplicativos maliciosos que exploram essa vulnerabilidade não são encontrados no Play", disse um porta-voz do Google à mídia cripto.

No entanto, os desenvolvedores foram instados a atualizar suas instalações do Unity Editor com a versão corrigida e reconstruir e republicar todos os aplicativos afetados para que os usuários possam baixar atualizações seguras.

Os jogadores móveis, por sua vez, estão sendo aconselhados a habilitar atualizações automáticas, evitar o sideload de fontes não verificadas, revisar as permissões do dispositivo e desativar sobreposições desnecessárias ou serviços de acessibilidade executados durante o jogo.

Os especialistas em segurança também recomendaram praticar a segregação de risco, como manter wallets criptomoedas em um dispositivo ou conta separada dos aplicativos de jogos, para minimizar possíveis consequências de explorações.

Agentes mal-intencionados visam aplicativos de criptomoedas no iOS e Android

Embora a vulnerabilidade recente não tenha como alvo direto os usuários de criptomoedas, a comunidade continua em risco, especialmente à luz de incidentes anteriores que expuseram lacunas de segurança significativas nas plataformas Android e iOS.

No início deste ano, descobriu-se que um aplicativo malicioso conhecido como BOM estava roubando dados confidenciais da carteira, solicitando permissões desnecessárias e verificando o armazenamento do dispositivo em busca de chaves privadas e frases de recuperação.

O BOM se disfarçou como uma ferramenta legítima de blockchain, desviando mais de US$ 1,8 milhão em criptoativos de pelo menos 13.000 vítimas antes de desaparecer das vitrines.

Em outro caso, a campanha de malware SparkCat usou tecnologia de reconhecimento óptico de caracteres para extrair frases iniciais de carteira de capturas de tela armazenadas em dispositivos infectados.

Distribuído por meio de aplicativos aparentemente inofensivos, o malware conseguiu se infiltrar na Google Play Store e na App Store da Apple, marcando um dos primeiros exemplos conhecidos de ataques baseados em OCR direcionados a usuários do iOS.