Imagine a cena: você abre o celular, tenta desbloqueá-lo e, de repente, a tela está toda preta. Parece tudo normal, então você repete o padrão de desbloqueio. A interface permanece a mesma, mas você não lembra de ter aberto o aplicativo bancário nos últimos segundos. E, nessa altura você vê o celular, sozinho, roubando todo o seu saldo. Parece um pesadelo, mas é pior — é verdade. Este é um Ataque da Mão Fantasma, uma nova categoria de malware de alto risco nascido no Brasil e já perturba vítimas internacionais.
Nomeado oficialmente de Ghost Hand Attack, a modalidade foi apresentada hoje, no Fórum Konferencia@Casa 2021 da Kaspersky, e ataca exclusivamente dispositivos móveis. O analista de segurança digital, Fábio Assolini, descreveu o golpe como “uma mão invisível, que usa o seu celular bem na sua frente”, e depende tanto de malwares quanto fraudes para operacionalizar.
Na prática, funciona assim: um trojan de acesso remoto (RAT) é instalado por email fraudulento que oferece uma atualização falsa de aplicativo, ou táticas de scareware — os famosos anúncios alarmistas de “seu Android está infectado”. E então, o programa abre acesso ao cibercriminoso, que pode utilizar o seu celular em tempo real.
Os RATs burlam todos os sistemas de autenticação de usuário, e dá prioridade do smartphone aos golpistas. Em todos os casos de Ghost Hand Attack, os malwares assumem privilégio administrativo do dispositivo. E removê-los não é fácil. Ao tentar desinstalar, os programas maliciosos fecham a tela automaticamente, ou ainda, ocultando-os da lista de apps instalados.
Ataque da Mão Fantasma é indetectável para instituições financeiras
Até o momento, apenas três famílias de RATs usadas em Ataques de Mão Fantasma foram detectadas pelas instituições: o grupo de trojans bancários Ghimob, BRata e TwMobo. Inicialmente atuando apenas no Brasil, hoje os três programas maliciosos já vitimaram pessoas e instituições na América Latina, Europa e nos Estados Unidos.
E por se tratar de operações diretamente do celular da vítima, é difícil para instituições financeiras detectarem que as transferências originam de fraudes. Os RATs não furam bloqueios de segurança ou de acesso pessoal diretamente do dispositivo infectado. Além disso, possuem acesso direto aos fatores de autenticação, como código SMS e email, podendo mudar as senhas para o que quiserem.
Malwares surgiram em 2019, mas se intensificaram agora
Pioneiro dos malwares de Ghost Hand Attack, o BRata surgiu em 2019, e reapareceu atualmente com algumas modificações. O trojan aparece como app falso na própria Google Play Store e, ao infectar um dispositivo, permite total controle remoto do aparelho, redirecionando-o para páginas de phishing.
No seu ressurgimento, o BRata apareceu com seis linhas novas de código, para roubo de contas bancárias internacionais. O número de instalações deste app de Ataque de Mão Fantasma chegou a 40 mil.
O Ghimob é outro trojan remoto que age de maneira similar. Ao abusar do recurso de detecção de movimento do smartphone, usado para orientar pessoas com problemas de visão, o trojan rastreia os acessos de tudo o que a vítima vê e faz. Dessa maneira, captura senhas e padrões de desbloqueio.
“A principal novidade do Ghimob é a técnica utilizada para burlar a autenticação biométrica”, explica Assolini. “ Os criminosos ligam para as vítimas se passando pelo suporte técnico do banco e pedem para confirmar a identidade dela por meio de uma chamada de vídeo. Neste momento, gravam a ligação para usar o vídeo na autenticação bancária”.
TwMobo só é removido com reset de celular ou antivírus
Porém, o mais recente dos três Ghost Hand Attacks causa uma preocupação ainda maior. Batizado de “Duro de Matar”, os trojans TwMobo não só assumem o controle total do smartphone, mas também travam o dispositivo no Modo de Proteção.
O perigo deste último malware está no fato de que ele não mira apenas dados bancários e redes sociais, mas todo o comportamento da vítima. O trojan também capta visualizações e interesses da vítima para vender os dados a e-commerces, agindo como uma versão mais nefasta dos rastreadores do Facebook.
Para piorar, os ataques desta família utilizam proteções mais avançadas que as anteriores. “O TwMobo fica oculto após a instalação,” alerta Assolini. “Como os criminosos tem controle do dispositivo e permissões de administradores, podem simplesmente ocultar o ícone em seu primeiro acesso remoto.”
O especialista avisa que, em todas as incidências desta variação, o Ataque de Mão Fantasma só foi removível por um reset de fábrica, ou com uma varredura de um antivírus atualizado.
Deixe seu Comentário
Leia Também
Tecnologia
Como prevenir ciberataques e construir resiliência digital para clientes do setor de logística
30/04/2024 10:45
Tecnologia
Evento on-line discute ética da inteligência artificial
28/04/2024 08:00Tecnologia
Dia das Meninas na Tecnologia da Informação: conheça os maiores desafios enfrentados pelas mulheres
25/04/2024 12:15
Tecnologia
Transição empresarial para eficiência com IA
22/04/2024 17:30
Ciência e Tecnologia
ISI Biomassa participa de desenvolvimento de plataforma para criação biodefensivos sustentáveis
22/04/2024 13:00