Topo

Novo 'golpe' faz apps do banco abrirem sozinhos e burla pedido de biometria

Getty Images/iStockphoto
Imagem: Getty Images/iStockphoto

Colaboração para Tilt, em São Paulo

02/09/2021 16h58

Já pensou pegar o celular e parecer que ele tem vida própria, com aplicativos abrindo sozinhos? Pois é isso que uma nova família de malware bancário criada por cibercriminosos brasileiros tem feito.

Segundo comunicado da empresa de segurança digital Kaspersky, trata-se da família de trojans TwMobo. Esses malwares permitem burlar os mecanismos de dupla autenticação, que usam digital, reconhecimento facial ou tokens no celular. Eles usam o método RATs (Trojan de acesso remoto, na sigla em português).

Fabio Assolini, analista sênior de segurança da empresa, explica que a nova ameaça não tem interesse apenas nos aplicativos de bancos, mas também é capaz de ajudar no roubo de senhas salvas no navegador e redes sociais. "Este tipo de golpe é chamado de 'golpe da mão fantasma', pois parece que o celular tem vida própria. Os apps abrem sozinhos, mas na realidade é o cibercriminoso que está operando remotamente", descreveu Assolini, em nota.

De três famílias de RAT já detectadas, duas já se espalharam em países da América Latina, Europa e Estados Unidos, indicando uma tendência de internacionalização de ameaças brasileiras para dispositivos móveis.

De acordo com a Kaspersky, as regras de isolamento social aplicadas no combate ao coronavírus aceleraram a transformação digital e, consequentemente, a mudança de comportamento dos usuários que optaram mais por ativar a dupla autenticação para proteger os celulares. Criativos, como sempre, os cibercriminosos encontraram então outros jeitos para burlar essa camada de segurança e acessar remotamente os dispositivos.

Como os trojans agem

Os novos trojans bancários permitem que os fraudadores acessem e controlem os celulares (ou tablet) das vítimas. Por ter acesso a tudo do dispositivo, se torna possível receber os códigos de dupla autenticação enviados por SMS, emails que permanecem logados ou até mesmo aqueles gerados pelos apps.

O TwMobo fica oculto após a instalação, explica a empresa. Como os criminosos tem controle do dispositivo e permissões de administradores, eles podem ocultar o ícone em seu primeiro acesso remoto, dificultando assim descobrir rastros do golpe.

Para espalhar o malware, os golpistas estão invadindo sites com muita audiência e inserindo um script malicioso nas plataformas. Quando um internauta acessa o site em questão, recebe uma notificação falsa dizendo que o dispositivo está infectado e, assim que a vítima aceitar "executar a limpeza", estará na verdade permitindo a instalação do RAT.

Por isso, fique atento a comportamentos como o descrito acima.

Quatro bancos brasileiros foram identificados como alvos do TwMobo, além de uma organização internacional — a empresa não informou os nomes das instituições bancárias.

Assolini ainda destaca que, uma vez o malware estiver instalado, não é possível realizar a desinstalação manualmente. Por isso, é importante ter programas de segurança já instalados no seu dispositivo.

Crescente interesse na Europa

De acordo com a Kaspersky, há cada vez mais interesse de fraudadores brasileiros no mercado europeu. Anunciado em 2019, o trojan Ghimob continua se disfarçando em apps falsos dentro das lojas oficiais. O local em que mais ele aparece é no Brasil, com 113 apps registrados no código do malware. Mas ele também se destaca por estar presente em cinco instituições da Alemanha e três de Portugal.

Como se proteger?

Segundo o analista de segurança, a melhor proteção contra ameaças como essas é a prevenção:

  • Tome cuidado com as mensagens falsas que induzam você a fazer algo
  • Fique em alerta com notificações de sites (e apps) que pedem a instalação de algum programa no celular
  • Mantenha o sistema operacional do seu aparelho sempre atualizado
  • Caso não tenha, procure instalar uma solução de segurança no dispositivo (existem opções gratuitas e pagas).