Nova família de trojans "fala" português e mira bancos brasileiros

Por Rui Maciel | 01 de Agosto de 2019 às 17h55

Trojans (ou cavalos de Tróia) bancários desenvolvidos especialmente para países da América Latina - Brasil incluído - estão sendo desenvolvidos por cibercriminosos, de olho em dados sigilosos das vítimas, como números de cartão de crédito e senhas. A informação é da empresa de segurança digital ESET.

De acordo com a companhia, são mais de dez novas famílias de malwares, destinadas a países de língua espanhola ou portuguesa. Ao contrário da maioria dos Trojans bancários, os da América Latina usam a engenharia social para alcançar o usuário. Eles detectam continuamente janelas ativas no computador da vítima e, se encontrarem uma relacionada a um banco, iniciam um ataque.


Janela pop-up falsa de um dos bancos usados pelo invasor, que tenta roubar um código de autorização / Crédito: ESET

De acordo com a análise da ESET, a atualização do aplicativo bancário utilizado pela vítima pode estar vinculada à verificação das informações de um cartão de crédito e às credenciais de acesso à conta corrente. Com essa informação, os hackers usam falsa janela pop-up para roubar esses dados assim que a vítima a acessa o app ou quando utiliza um teclado virtual que funciona. Nesse último caso, eles usam uma técnica chamada keylogger, que rastreia o que é digitado pelas vítimas. Por fim, as informações confidenciais são enviadas ao invasor, que as utiliza para realizar compras, pedir empréstimos e transferir valores. 

Amavaldo: um trojan que mira Brasil e México

Nas famílias de malware recentemente descobertas, um dos mais ativos atende pelo nome de Amavaldo. Ele está ativo no Brasil e no México e atinge os aplicativos bancários. A versão mais recente observada pela ESET tem uma data de compilação de 10 de junho de 2019. Entre suas características, ele usa um esquema de criptografia personalizado, que ofusca seqüências de caracteres. Uma vez infiltrado, ele recebe comandos do cibercriminoso para expandir seus recursos maliciosos, incluindo: captura de fotos da vítima por meio da webcam, registro do texto inserido pelo teclado, download e execução de outros programas, restrição de acesso diversos sites de instituições bancárias, simulação de teclado virtual e execução de atualizações automáticas

Além de seus "super poderes", o Amavaldo usa uma técnica de ataque sofisticada para invadir os telefones: uma vez que detecta o uso de um app relacionado a um banco, ele realiza uma captura de tela da área de trabalho e faz com que o usuário visualize o novo papel de parede. Em seguida, ele exibe uma janela pop-up falsa, que é escolhida com base no texto da janela ativa, enquanto desabilita vários atalhos de teclado e "sequestra" o smartphone", impedindo que a vítima interaja com outra coisa que não seja a janela pop-up.

Teclado virtual com um keylogger fingindo ser um banco no Brasil

Os especialistas da ESET acreditam que os arquivos maliciosos usados pelo Trojan para infectar o dispositivo da vítima são propagados por meio de uma campanha de e-mail, com arquivos disfarçados como PDFs legítimos.

"Quando encontramos pela primeira vez essa família de malwares, apenas bancos brasileiros tinham sido afetados mas, a partir de abril de 2019, o alcance chegou aos bancos no México.", diz Camilo Gutierrez, chefe do Laboratório de Pesquisa da ESET América Latina. "Embora os bancos-alvo no Brasil ainda tenham a presença do malware, de acordo com nossas análises, os criminosos por trás dessa ameaça estão atualmente se concentrando particularmente no México. Até o momento, foram identificadas mais de 20 entidades financeiras usadas pelos invasores para enganar os usuários", 

As novas famílias de Trojans bancários descobertos compartilham um conjunto de características comuns: são escritas na linguagem de programação Delphi, contêm funcionalidade backdoor, abusam de ferramentas e softwares legítimos e destinam-se a países de língua espanhola ou portuguesa.

"Em geral, os Trojans bancários são distribuídos por meio de um downloader (arquivo executável do Windows) que finge ser um instalador de software legítimo", continua Gutierrez. "Neste caso, uma cadeia de múltiplos estágios é usada, usando várias camadas de downloaders, nos quais a carga final é entregue por meio de um arquivo zip contendo o Trojan bancário. Embora seja muito difícil para os pesquisadores chegarem ao fim da cadeia e analisarem a carga útil final, também é mais fácil para uma solução antivírus impedir a ameaça, porque ela só precisa quebrar um link na cadeia", finalizou.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.