A Kaspersky anunciou que a família de trojans bancários móveis TwMobo, desenvolvida por brasileiros, está se espalhando pelo mundo, roubando investidores do mercado tradicional e também do mercado de criptoativos.
De acordo com a empresa de segurança, o aumento das transações bancárias e no e-commerce resultou em preocupação com o crescimento das fraudes online. Como resultado, isso acelerou a adoção de tecnologias de dupla autenticação.
“Como consequência, o cibercrime encontrou nos RATs móveis uma forma de burlar esta proteção”, disseram.
Os especialistas da Kaspersky explicam que estes trojans bancários permitem aos cibercriminosos acessar e controlar remotamente o celular (ou tablet) infectado.
Isso significa que poderão ter também os códigos de dupla autenticação enviados por SMS, e-mail ou os gerados em apps. Em seguida, os invasores poderão acessar contas tanto de empresas tradicionais como de criptomoedas.
“Este tipo de golpe é chamado de ‘golpe da mão fantasma’, pois parece que o celular tem vida própria. Os apps abrem sozinhos. Mas na realidade é o cibercriminoso que está operando remotamente. Este esquema é tão efetivo que das três famílias de RAT móvel brasileiras, duas já se expandiram pela América Latina, Europa e Estados Unidos, usando operadores locais para sacar o dinheiro”, afirma Fabio Assolini, analista sênior de segurança da Kaspersky na América Latina.
Conforme observou Assolini, a popularização deste tipo de ataque segue o modelo de Malware-As-a-Service do cibercrime do leste europeu. E foi justamente isso que permitiu a expansão rápida, segundo ele.
Além disso, especialista destacou que o novo RAT móvel traz características interessantes. Além do interesse nos apps de bancos, ele ainda rouba senhas salvas no navegador e das redes sociais. Assim, ele é capaz de acessar wallets de criptomoedas salvas no celular e também as acessadas online.
“Para disseminar este malware, os cibercriminosos invadem sites com muita audiência e inserem um script malicioso. Quando um internauta acessa este site infectado, verá uma notificação falsa dizendo que o dispositivo está infectado e pedindo para executar uma limpeza. Claro que, ao aceitar isso, a vítima permite a instalação do RAT. Uma vez instalado, o app fica oculto e não é possível realizar a desinstalação manualmente”, detalha Assolini.
Antes desta ameaça, a Kaspersky já havia anunciado a descoberta dos RATs BRata e Ghimob. O mais antigo deles é o BRata, anunciado em 2019, mas o grupo atuava apenas no Brasil.
“Hoje o BRata está ativo também nos EUA e na Europa. Ele continua se disfarçando de apps falsos em lojas oficiais. Recentemente, identificamos um desses apps com mais de 40 mil instalações. Outra novidade, é que recentemente foram adicionados seis comandos no código, tornando-o preparado para realizar fraudes em bancos que atuam no México.”
Luciano Rodrigues
