Kaspersky descobre 3ª família de RATs brasileiros para dispositivos móveis. Principais alvos dos ataques estão no Brasil e no exterior
A Kaspersky descobre a família de trojans bancários móveis TwMobo e confirma três tendências importantes: o crescimento do interesse dos cibercriminosos nas fraudes via celular, a internacionalização das ameaças móveis brasileiras para a América Latina, Europa e EUA, e a preferência pelos RATs (Remote Access Trojan) – malware que permite burlar os mecanismos de dupla autenticação, que usam a digital, reconhecimento facial ou tokens digitais no celular.
O aumento das transações bancárias e no e-commerce, motivado pelas regras de isolamento social aplicadas no combate ao coronavírus, e a consequente aceleração da transformação digital, resultou em preocupação com o crescimento das fraudes online – acelerando a adoção de tecnologias de dupla autenticação. Como consequência, o cibercrime encontrou nos RATs móveis uma forma de burlar esta proteção.
Os especialistas da Kaspersky explicam que estes trojans bancários permitem aos cibercriminosos acessar e controlar remotamente o celular (ou tablet) infectado.
Isso significa que poderão ter também os códigos de dupla autenticação enviados por SMS, e-mail ou os gerados em apps.
Outro benefício é a fraude ser realizada no celular da vítima – tornando sua identificação pela instituição (financeira ou varejo) muito difícil.
“Este tipo de golpe é chamado de ‘golpe da mão fantasma’, pois parece que o celular tem vida própria — os apps abrem sozinhos, mas na realidade é o cibercriminoso que está operando remotamente. Este esquema é tão efetivo que das três famílias de RAT móvel brasileiras, duas já se expandiram pela América Latina, Europa e Estados Unidos, usando operadores locais para sacar o dinheiro.
Estes grupos seguem o modelo de Malware-As-a-Service do cibercrime do leste europeu – o que permitiu a expansão rápida“, afirma Fabio Assolini, analista sênior de segurança da Kaspersky na América Latina.
O especialista da Kaspersky ainda destaca que o novo RAT móvel traz características interessantes. Além do interesse nos apps de bancos, ele ainda rouba senhas salvas no navegador e das redes sociais. E, até agora, foram identificadas cinco instituições bancárias que são alvo do TwMobo: quatro bancos brasileiros e uma organização internacional.
“Para disseminar este malware, os cibercriminosos invadem sites com muita audiência e inserem um script malicioso. Quando um internauta acessa este site infectado, verá uma notificação falsa dizendo que o dispositivo está infectado e pedindo para executar uma limpeza. Claro que ao aceitar isso, a vítima permite a instalação do RAT – e uma vez instalado, o app fica oculto e não é possível realizar a desinstalação manualmente“, detalha Assolini.
Antes desta ameaça, a Kaspersky já havia anunciado a descoberta dos RATs BRata e Ghimob. O mais antigo deles é o BRata, anunciado em 2019, mas o grupo atuava apenas no Brasil.
“Hoje o BRata está ativo também nos EUA e na Europa. Ele continua se disfarçando de apps falsos em lojas oficiais. Recentemente, identificamos um desses apps com mais de 40 mil instalações. Outra novidade, é que recentemente foram adicionados seis comandos no código, tornando-o preparado para realizar fraudes em bancos que atuam no México.”
Sobre o Ghimob, o analista da Kaspersky reforça o interesse crescente dos trojans brasileiros na Europa. Após o Brasil (com 113 apps registrados no código do malware), aparecem a Alemanha com 5 instituições – seguido de Portugal (3), Peru (2) e Paraguai (2).
“A principal novidade do Ghimob é a técnica utilizada para burlar a autenticação biométrica. Os criminosos ligam para as vítimas se passando pelo suporte técnico do banco e pedem para confirmar a identidade dela por meio de uma chamada de vídeo. Neste momento, gravam a ligação para usar o vídeo na autenticação bancária“, explica.
Por fim, Assolini alerta que a melhor proteção contra estas novas ameaças é a prevenção, pois, uma vez infectada, a vítima só conseguirá eliminar os RATs usando uma solução de segurança no celular, como o Kaspersky Internet Security para Android.
“O TwMobo fica oculto após a instalação. Como os criminosos tem controle do dispositivo e permissões de administradores, podem simplesmente ocultar o ícone em seu primeiro acesso remoto. Assim, a melhor proteção é tomar cuidado com as mensagens falsas (phishing), notificações que pedem a instalação de algum programa no celular e ter uma solução de segurança no dispositivo.”
Os detalhes técnicos e índices de comprometimentos para reconhecer os RATs brasileiros podem ser acessados por instituições financeiras com acesso ao Portal de Threat Intelligence da Kaspersky .
Sobre a Kaspersky
A Kaspersky é uma empresa internacional de cibersegurança e privacidade digital fundada em 1997. Seu conhecimento detalhado de Threat Intelligence e especialização em segurança se transformam continuamente em soluções e serviços de segurança inovadores para proteger empresas, infraestruturas industriais, governos e consumidores finais do mundo inteiro.
O abrangente portfólio de segurança da empresa inclui excelentes soluções de proteção de endpoints e muitas soluções e serviços de segurança especializada para combater ameaças digitais sofisticadas e em evolução. Mais de 400 milhões de usuários são protegidos pelas tecnologias da Kaspersky e ela ajuda 240.000 clientes corporativos a proteger o que é mais importante para eles.
Novos golpes via SMS exploram o PIX para roubar usuários, alerta a Kaspersky
Kaspersky identifica mais de 5 mil sites falsos com o tema da pandemia
Malware disfarçado de Zoom visa empresas, alerta Kaspersky
Uma empresa do Grupo Crypto ID