Clientes de cinco instituições bancárias, sendo quatro brasileiras e uma do exterior, estão sendo alvo de um RAT (Remote Access Trojan) desenvolvido por criminosos brasileiros. Esse novo RAT consegue burlar os mecanismos de dupla autenticação que usam a digital, reconhecimento facial ou tokens digitais no celular, diz um relatório da Kaspersky assinado pelo especialista Fábio Assolini e publicado ontem pela empresa. O relatório informa que essa é a terceira família de trojans bancários móveis descoberta pela empresa, e batizada de TwMobo. Sua descoberta, acrescenta o documento, confirma três tendências importantes: o crescimento do interesse dos cibercriminosos nas fraudes via celular, a internacionalização das ameaças móveis brasileiras para a América Latina, Europa e EUA, e a preferência pelos RATs.
Veja isso
Nova onda de malware na AL tem como alvo setor de viagens
Malware LemonDuck agora remove controles de segurança
Os especialistas da Kaspersky explicam que estes trojans bancários permitem aos cibercriminosos acessar e controlar remotamente o celular (ou tablet) infectado. Isso significa que poderão ter também os códigos de dupla autenticação enviados por SMS, e-mail ou os gerados em apps. Outro benefício é a fraude ser realizada no celular da vítima – tornando sua identificação pela instituição (financeira ou varejo) muito difícil:
“Este tipo de golpe é chamado de ‘golpe da mão fantasma’, pois parece que o celular tem vida própria — os apps abrem sozinhos, mas na realidade é o cibercriminoso que está operando remotamente. Este esquema é tão efetivo que das três famílias de RAT móvel brasileiras, duas já se expandiram pela América Latina, Europa e Estados Unidos, usando operadores locais para sacar o dinheiro. Estes grupos seguem o modelo de Malware-As-a-Service do cibercrime do leste europeu – o que permitiu a expansão rápida”, afirma Fabio Assolini, analista sênior de segurança da Kaspersky na América Latina.
O especialista da Kaspersky ainda destaca que o novo RAT móvel traz características interessantes. Além do interesse nos apps de bancos, ele ainda rouba senhas salvas no navegador e das redes sociais. E, até agora, foram identificadas cinco instituições bancárias que são alvo do TwMobo: quatro bancos brasileiros e uma organização internacional. “Para disseminar este malware, os cibercriminosos invadem sites com muita audiência e inserem um script malicioso. Quando um internauta acessa este site infectado, verá uma notificação falsa dizendo que o dispositivo está infectado e pedindo para executar uma limpeza. Claro que ao aceitar isso, a vítima permite a instalação do RAT – e uma vez instalado, o app fica oculto e não é possível realizar a desinstalação manualmente”, detalha Assolini.
Antes desta ameaça, a Kaspersky já havia anunciado a descoberta dos RATs BRata e Ghimob. O mais antigo deles é o BRata, anunciado em 2019, mas o grupo atuava apenas no Brasil. “Hoje o BRata está ativo também nos EUA e na Europa. Ele continua se disfarçando de apps falsos em lojas oficiais. Recentemente, identificamos um desses apps com mais de 40 mil instalações. Outra novidade, é que recentemente foram adicionados seis comandos no código, tornando-o preparado para realizar fraudes em bancos que atuam no México.”
Com informações da assessoria de imprensa