Malware usa Pix para roubar dinheiro de usuários do PagSeguro

Quem resiste a um bom cashback? Era com essa promessa que criminosos focados no mercado financeiro brasileiro usaram um aplicativo falso, se aproveitando da marca PagSeguro, para limpar contas e transferir fundos para as próprias mãos usando o Pix. A praga estava disponível na loja Google Play e abusava dos serviços de acessibilidade do Android para realizar as tarefas criminosas.

• Golpe usa 0800 como isca para roubar cartões de crédito
• Mesmo mais atentos a segurança online, brasileiros não sabem proteger seus dados

A contaminação, como sempre, começa com um e-mail ou mensagem de phishing. De acordo com os pesquisadores da Check Point Research, que descobriram a praga em setembro do ano passado, o chamado Pag Cashback é uma aplicação simples, que funciona como uma espécie de ofuscador às atividades fraudulentas que estão sendo realizadas pelos bandidos, sem que a vítima perceba que a conta está sendo limpa diante de seus olhos.

Começa, como muitas ameaças recentes, com um pedido de autorização para uso dos serviços de acessibilidade do sistema operacional. Após a aprovação, o malware abre o aplicativo legítimo do PagSeguro, caso esteja instalado no celular, para que o usuário realize seu login; é nesse momento que as credenciais são capturadas para uso posterior, enquanto inicia uma suposta sincronização entre os softwares para aplicação do cashback.

Todo o processo é automatizado. Ao detectar a presença de saldo na conta, a praga exibe uma tela de processamento e pede que o usuário não desligue a tela do celular. É aqui que está o pulo do gato já que, em segundo plano, é feita a transferência dos valores para contas pertencentes aos bandidos, como se a própria vítima estivesse fazendo isso — caso o aparelho fosse bloqueado, claro, a transação seria interrompida. A possibilidade de uma praga usar o smartphone desta maneira é um dos motivos pelos quais as opções de acessibilidade se tornaram tão populares em malwares bancários.

A ameaça também é capaz de ultrapassar barreiras colocadas pelo próprio PagSeguro, que exige o uso de autenticação em dois fatores, o upload de documentos e até uma selfie para liberar transferências via Pix. De acordo com Maya Horowitz, vice-presidente de pesquisa da Check Point, a praga é altamente capaz de voar sob o radar ao usar sistemas legítimos, poucas autorizações e até ícones com aspecto oficial, aumentando a eficácia do golpe.

Atenção ao perigo

Em uma apresentação no evento Check Point 360, que está acontecendo nesta semana, ela compara o ataque, assim como outros, ao mundo da série Harry Potter. Na visão dela, as mesmas artimanhas mirabolantes usadas pelos protagonistas dos livros para quebrar regras e resolver problemas vale, no sentido inverso, para os bandidos, que tentarão usar qualquer brecha para comprometer os sistemas. “Se você não olhar para o perigo, não quer dizer que ele não exista. Não existe solução mágica para a segurança, mas a atenção é o primeiro passo”, completa Horowitz.

Como sempre, a recomendação é de atenção no download e instalação de aplicativos, com dupla desconfiança caso tais instruções venham por e-mail ou mensagens de texto. O ideal é observar desenvolvedores e reviews na loja Google Play antes de baixar, evitando softwares que não venham dos criadores legítimos das plataformas.

Manter soluções de segurança ativas e atualizadas, assim como todos os apps e o próprio sistema operacional, também ajuda na proteção contra as ameaças mais comuns. Ao realizar downloads, ainda, fique atento às permissões concedidas e dados solicitados, desconfiando e interrompendo o uso a qualquer sinal de que a aplicação está pedindo mais do que deveria.

Fonte: Check Point Research