Novo malware bancário mira o Brasil para roubar Pix

Os celulares Android são os alvos de um vírus recém-descoberto que mira os usuários brasileiros. O BrasDex vem agindo há cerca de um ano e já teria registrado pelo menos 1.000 contaminações no país, com prejuízos de centenas de milhares de reais após ataques que envolvem o desvio de transferências do Pix e o roubo de credenciais bancárias.

• Brasil é maior alvo de ameaças para Android na América Latina
• Governo brasileiro lança centro especializado em ações de segurança cibernética

10 instituições do país — PicPay, Nubank, Original, Inter, Binance, Banco do Brasil, Itaú, Bradesco, Caixa e Santander — são focos dos ataques envolvendo o malware, que só age contra brasileiros. Caso o vírus detecte que o cartão SIM em uso no smartphone não é de nosso país, a cadeia de contaminação é interrompida; caso contrário, é feito o contato com o servidor de comando e controle, de onde vêm as ordens envolvendo características do aparelho e também dos apps bancários instalados nele.

Para agir, o BrasDex abusa de permissões concedidas pelo usuário após a instalação de apps maliciosos, principalmente em relação aos sistemas de acessibilidade do Android. O vírus é capaz de reconhecer elementos da tela e os dados digitados pelo usuário, obtendo suas credenciais de acesso e reconhecendo caminhos, interfaces e, principalmente, o saldo disponível na conta.

A fraude vem na sequência, com a realização de transferências via Pix para contas de laranjas a serviço da quadrilha. Todo o processo é feito remotamente, mas direto no celular da vítima e simulando uma transação feita por ela, que só percebe o problema quando já é tarde demais. De acordo com as informações da ThreatFabric, empresa de cibersegurança responsável pela descoberta do BrasDex, seriam dezenas de contas e diferentes chaves envolvendo CPFs, celulares e e-mails usados pela quadrilha.

Segunda campanha também atinge PCs com Windows

Os criminosos, inclusive, são os mesmos responsáveis por outra praga que atingiu diretamente o sistema financeiro brasileiro. Similaridades de código, infraestrutura e funcionamento ligam o BrasDex diretamente ao Casbaneiro, descoberto em 2018 e focado no sistema operacional Windows.

Mais do que isso, os especialistas apontam se tratar de uma campanha multiplataforma, que pode utilizar os dois malwares em ataques diferentes e também teria atingido pelo menos 1,4 mil usuários de PC.

Essa conclusão se deve à descoberta de painéis de controle combinados, que também indicam, mais uma vez, que os criminosos responsáveis operam uma campanha de malware sob demanda, vendendo a solução maliciosa a terceiros interessados em realizar os ataques.

Em ambos os casos, e-mails de phishing em nome dos Correios são o principal vetor de disseminação, induzindo o usuário a baixar um formulário contaminado enquanto alegam problemas na entrega de um pacote.

No caso dos ataques contra PCs, o foco está na obtenção de códigos de verificação em duas etapas a partir de telas falsas que simulam a aparência dos serviços dos bancos. Até mesmo QR Codes gerados pelos bandidos podem aparecer, de forma que um dispositivo usado pelos responsáveis seja autenticado e possa realizar transações na conta das vítimas.

Ainda que a ameaça seja nova, o relatório aponta para métodos de disseminação usuais. Os usuários devem ficar atentos a e-mails fraudulentos em nome de instituições e empresas, evitando fazer o download de arquivos ou aplicativos por esses meios.

O celular e o computador devem ser mantidos sempre atualizados e rodando antivírus e outros softwares de segurança, enquanto a atenção à conta bancária e à inserção de dados ajuda a identificar possíveis fraudes.

Fonte: ThreatFabric