[bsa_pro_ad_space id=3 delay=8]

Malware brasileiro se internacionaliza com foco em ataques ao mobile banking

Especialista descobre 3ª família de RATs brasileiros para dispositivos móveis. Principais alvos dos ataques estão no Brasil e no exterior

Compartilhar:

A Kaspersky revelou que descobriu a família de trojans bancários móveis TwMobo e confirma três tendências importantes: o crescimento do interesse dos cibercriminosos nas fraudes via celular, a internacionalização das ameaças móveis brasileiras para a América Latina, Europa e EUA, e a preferência pelos RATs (Remote Access Trojan) – malware que permite burlar os mecanismos de dupla autenticação, que usam a digital, reconhecimento facial ou tokens digitais no celular.

 

O aumento das transações bancárias e no e-commerce, motivado pelas regras de isolamento social aplicadas no combate ao coronavírus, e a consequente aceleração da transformação digital, resultou em preocupação com o crescimento das fraudes online – acelerando a adoção de tecnologias de dupla autenticação. Como consequência, o cibercrime encontrou nos RATs móveis uma forma de burlar esta proteção.

 

Os especialistas da Kaspersky explicam que estes trojans bancários permitem aos cibercriminosos acessar e controlar remotamente o celular (ou tablet) infectado. Isso significa que poderão ter também os códigos de dupla autenticação enviados por SMS, e-mail ou os gerados em apps. Outro benefício é a fraude ser realizada no celular da vítima – tornando sua identificação pela instituição (financeira ou varejo) muito difícil.

 

“Este tipo de golpe é chamado de ‘golpe da mão fantasma’, pois parece que o celular tem vida própria — os apps abrem sozinhos, mas na realidade é o cibercriminoso que está operando remotamente. Este esquema é tão efetivo que das três famílias de RAT móvel brasileiras, duas já se expandiram pela América Latina, Europa e Estados Unidos, usando operadores locais para sacar o dinheiro. Estes grupos seguem o modelo de Malware-As-a-Service do cibercrime do leste europeu – o que permitiu a expansão rápida”, afirma Fabio Assolini, analista sênior de segurança da Kaspersky na América Latina.

 

O especialista da Kaspersky ainda destaca que o novo RAT móvel traz características interessantes. Além do interesse nos apps de bancos, ele ainda rouba senhas salvas no navegador e das redes sociais. E, até agora, foram identificadas cinco instituições bancárias que são alvo do TwMobo: quatro bancos brasileiros e uma organização internacional. “Para disseminar este malware, os cibercriminosos invadem sites com muita audiência e inserem um script malicioso. Quando um internauta acessa este site infectado, verá uma notificação falsa dizendo que o dispositivo está infectado e pedindo para executar uma limpeza”, detalha Assolini.

 

Antes desta ameaça, a Kaspersky já havia anunciado a descoberta dos RATs BRata e Ghimob. O mais antigo deles é o BRata, anunciado em 2019, mas o grupo atuava apenas no Brasil. “Hoje o BRata está ativo também nos EUA e na Europa. Ele continua se disfarçando de apps falsos em lojas oficiais. Recentemente, identificamos um desses apps com mais de 40 mil instalações. Outra novidade, é que recentemente foram adicionados seis comandos no código, tornando-o preparado para realizar fraudes em bancos que atuam no México.”

 

Sobre o Ghimob, o analista da Kaspersky reforça o interesse crescente dos trojans brasileiros na Europa. Após o Brasil (com 113 apps registrados no código do malware), aparecem a Alemanha com 5 instituições – seguido de Portugal (3), Peru (2) e Paraguai (2). “A principal novidade do Ghimob é a técnica utilizada para burlar a autenticação biométrica. Os criminosos ligam para as vítimas se passando pelo suporte técnico do banco e pedem para confirmar a identidade dela por meio de uma chamada de vídeo. Neste momento, gravam a ligação para usar o vídeo na autenticação bancária”, explica.

 

Por fim, Assolini alerta que a melhor proteção contra estas novas ameaças é a prevenção, pois, uma vez infectada, a vítima só conseguirá eliminar os RATs usando uma solução de segurança no celular. “O TwMobo fica oculto após a instalação. Como os criminosos tem controle do dispositivo e permissões de administradores, podem simplesmente ocultar o ícone em seu primeiro acesso remoto. Assim, a melhor proteção é tomar cuidado com as mensagens falsas (phishing), notificações que pedem a instalação de algum programa no celular e ter uma solução de segurança no dispositivo.”

Conteúdos Relacionados

Security Report | Overview

Cibercriminosos seguem mirando senhas fracas de PMEs na América Latina

Estudo da Kaspersky mostra que mais de 37% das pequenas e médias empresas latino-americanas sofreram alguma violação de cibersegurança nos...
Security Report | Overview

Novas vulnerabilidades críticas são encontradas em sistemas SAP, Cloudflare e WordPress, alerta laboratório

Consultoria Redbelt Security aconselha as empresas a adotarem uma abordagem colaborativa e proativa, adotando melhores práticas, tecnologias de vanguarda e...
Security Report | Overview

Febraban alerta para ligações de criminosos com falsas gravações para aplicar golpes

Como praxe, as organizações financeiras ligam para clientes como forma de confirmar transações consideradas suspeitas, mas jamais pedem dados pessoais...
Security Report | Overview

Ciberameaças às nuvens públicas crescem 93% em 2024, aponta relatório

Malware (41%), phishing (36%) e ransomware (32%) foram os que mais cresceram, atingindo principalmente ativos e armazenamento em Nuvem...