Já pensou pegar o celular e parecer que ele tem vida própria, com aplicativos abrindo sozinhos? Pois é isso que uma nova família de malware bancário criada por cibercriminosos brasileiros tem feito.
Segundo comunicado da empresa de segurança digital Kaspersky, trata-se da família de trojans TwMobo. Esses malwares permitem burlar os mecanismos de dupla autenticação, que usam digital, reconhecimento facial ou tokens no celular. Eles usam o método RATs (Trojan de acesso remoto, na sigla em português).
Fabio Assolini, analista sênior de segurança da empresa, explica que a nova ameaça não tem interesse apenas nos aplicativos de bancos, mas também é capaz de ajudar no roubo de senhas salvas no navegador e redes sociais. "Este tipo de golpe é chamado de 'golpe da mão fantasma', pois parece que o celular tem vida própria. Os apps abrem sozinhos, mas na realidade é o cibercriminoso que está operando remotamente", descreveu Assolini, em nota.
De três famílias de RAT já detectadas, duas já se espalharam em países da América Latina, Europa e Estados Unidos, indicando uma tendência de internacionalização de ameaças brasileiras para dispositivos móveis.
De acordo com a Kaspersky, as regras de isolamento social aplicadas no combate ao corinavírus aceleraram a transformação digital e, consequentemente, a mudança de comportamento dos usuários que optaram mais por ativar a dupla autenticação para proteger os celulares. Criativos, como sempre, os cibercriminosos encontraram então outros jeitos para burlar essa camada de segurança e acessar remotamente os dispositivos.
Os novos trojans bancários permitem que os fraudadores acessem e controlem os celulares (ou tablet) das vítimas. Por ter acesso a tudo do dispositivo, se torna possível receber os códigos de dupla autenticação enviados por SMS, emails que permanecem logados ou até mesmo aqueles gerados pelos apps.
O TwMobo fica oculto após a instalação, explica a empresa. Como os criminosos tem controle do dispositivo e permissões de administradores, eles podem ocultar o ícone em seu primeiro acesso remoto, dificultando assim descobrir rastros do golpe.
Para espalhar o malware, os golpistas estão invadindo sites com muita audiência e inserindo um script malicioso nas plataformas. Quando um internauta acessa o site em questão, recebe uma notificação falsa dizendo que o dispositivo está infectado e, assim que a vítima aceitar "executar a limpeza", estará na verdade permitindo a instalação do RAT.
Por isso, fique atento a comportamentos como o descrito acima.
Quatro bancos brasileiros foram identificados como alvos do TwMobo, além de uma organização internacional — a empresa não informou os nomes das instituições bancárias.
Assolini ainda destaca que, uma vez o malware estiver instalado, não é possível realizar a desinstalação manualmente. Por isso, é importante ter programas de segurança já instalados no seu dispositivo.
De acordo com a Kaspersky, há cada vez mais interesse de fraudadores brasileiros no mercado europeu. Anunciado em 2019, o trojan Ghimob continua se disfarçando em apps falsos dentro das lojas oficiais. O local em que mais ele aparece é no Brasil, com 113 apps registrados no código do malware. Mas ele também se destaca por estar presente em cinco instituições da Alemanha e três de Portugal.
Segundo o analista de segurança, a melhor proteção contra ameaças como essas é a prevenção: