O malware, que estava disfarçado como um aplicativo de criptomoedas legítimo, funcionava ao trocar os endereços de carteiras na área de transferência do Android pelo endereço dos hackers. De forma bem simples, quando o usuário copiava um endereço para enviar Bitcoins, na hora de colar, o que era enviado era o endereço dos criminosos. Ele também tentava ter acesso a carteiras de Ethereum.

Um pesquisador da Eset foi quem realizou a descoberta e relatou em um post. Esse tipo de ataque, com troca de endereços copiados na área de transferência é chamado de “Clipper” e é bem comum no Windows desde 2017.

O malware disponível na Google Play imitava um serviço chamado MetaMask, um programa que permite que todos os navegadores possam executar aplicativos que funcionam com o Ethereum. O propósito primário do Android/Clipper.C (Como a Eset chamou o vírus) era roubar credenciais para ganhar acesso à fundos de Ethereum. O malware também substituía endereços na área de transferência, como já mencionamos.