Uma investigação realizada por especialistas da Kaspersky no Brasil revelou um novo tipo de golpe financeiro que consegue redirecionar uma transferência PIX. Classificado como a evolução do conhecido esquema da “Mão Fantasma”, ele realiza fraudes bancárias no celular da própria vítima de maneira automática devido a adoção da técnica ATS (sigla em inglês para Automated Transfer System).
A empresa de cibersegurança já detectou mais de 6.300 ataques desse tipo desde janeiro de 2023, além deste golpe ser o segundo mais bloqueado no país, o Brasil é o mais atacado por trojan bancário (desktop) no mundo e o quinto quando leva-se em consideração apenas esses golpes no celular.
O Panorama de Ameaças de 2023 da Kaspersky reforça ainda a tendência identificada em 2022 que coloca o malware financeiro de origem brasileira como o principais responsável pelas fraudes bancárias no Brasil e na América Latina – e eles ainda ganham cada vez mais notoriedade no âmbito internacional.
Essa referência global se reflete na criação de novos golpes financeiros, sendo o bloqueio de pagamentos com cartão de crédito sem contato, o golpe da mão fantasma e o redirecionamento do PIX exemplos das inovações recentes do cibercrime brasileiro.
A primeira família de trojan bancário para celular usando a automação foi identificada em dezembro de 2012 e, de lá para cá, já foram registradas um total de 7 famílias de trojans bancários usando a técnica ATS. Entre os grupos mais ativos, está o malware BRats, que é o 2º ameaça mais detectada no Brasil com 2.100 bloqueios entre janeiro e setembro deste ano.
Etapas do golpe
Os criminosos precisam infectar o celular das vítimas com o trojan bancário para realizar a fraude. Para isso, a investigação identificou app de jogos servindo como disfarce. Para motivar as vítimas a baixá-lo, ainda era oferecido prêmios. Porém, os especialistas alertam que qualquer app popular pode servir como disfarce, além de que esses apps falsos estarão (na maioria das vezes) fora das lojas oficiais.
Uma vez instalado, o trojan bancário solicitará a permissão de acessibilidade – que é uma ferramenta presente em todos os celulares Android que permitem que pessoas com deficiência física usem o dispositivo. Para convencer a pessoa a autorizar essa permissão, o vírus mostra uma mensagem de “atualização” necessária do app falso – ela será apresentada até que a vítima aceite. Essa etapa é essencial, pois o golpe não ocorrerá sem ela.
Redirecionamento do PIX
“Dizer que o novo golpe redireciona o PIX é uma maneira simples de explicar como a fraude ocorre. Como muitas pessoas usam a digital ou o reconhecimento facial para autenticar uma transferência bancária, o malware que usa a técnica do ATS espera a vítima acessar o app do banco para atuar”, explica Fabio Marenghi, analista sênior da Kaspersky no Brasil.
“Quando um PIX é feito, o malware ATS irá bloquear a tela na etapa “processando transferência”. Enquanto a pessoa espera, o vírus vai clicar em “voltar” e alterar o destinatário e o valor da transferência. Essa troca ocorre rapidamente, justamente porquê todo o processo foi automatizado. Quando a tela retorna para o correntista colocar a senha, a troca foi feita. Por isso a sensação de que há o redirecionamento”, completa.
O especialista esclarece ainda que o malware tem a capacidade de realizar a fraude enquanto o celular está com a tela desligada. A preferência pelo “redirecionamento” é apenas uma forma mais simples para burlar a autenticação biométrica. Outro detalhe importante é a maneira que a transferência ocorre: via PIX. Esse método é usado por ser instantâneo, porém o malware pode realizar transferências entre contas da mesma instituição bancária ou usar outros métodos (como via TED ou TEF).
Rápido crescimento
O ranking da Kaspersky mostra a família de trojan bancário para celular Banbra como a mais popular no Brasil, com mais de 2.500 bloqueios neste ano. Mas o analista da empresa chama atenção para um detalhe importante: o golpe da mão fantasma existe há cinco anos – já as novas famílias de trojans que automatizam a fraude é a técnica mais usada em apenas 9 meses.
“A mão fantasma é um golpe em que o criminoso realiza manualmente a fraude. Quando se automatiza a tarefa, o criminoso pode focar 100% do seu “trabalho” na infecção de novas vítimas – só nisso é possível aumentar os lucros. Outro ponto importante, é que – quando o criminoso está dormindo ou decidir ir com a família para a praia no fim de semana, ele perde. Com o malware ATS, todas as oportunidades serão aproveitadas, pois o vírus faz todo o trabalho. Esses dois pontos-críticos justificam como esse novo golpe cresceu tão rápido”, explica Marenghi.
Como evitar
Para evitar ser vítima desse golpe, os especialistas da Kaspersky recomendam que baixe aplicativos apenas de lojas oficiais; nunca dê a permissão de acessibilidade, todos os trojans bancários modernos precisam dessa autorização para funcionar. Por outro lado, essa funcionalidade só é necessária caso a pessoa tenha alguma limitação física; habilite a autenticação de dois fatores (2FA), para proteger suas contas online, especialmente aquelas vinculadas a métodos de pagamento, com 2FA.
