{"id":18026,"date":"2021-09-02T17:45:31","date_gmt":"2021-09-02T20:45:31","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=18026"},"modified":"2022-05-05T08:59:39","modified_gmt":"2022-05-05T11:59:39","slug":"hackers-brasileiros-exportam-virus-mobile-banking-twmobo","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/hackers-brasileiros-exportam-virus-mobile-banking-twmobo\/18026\/","title":{"rendered":"Novo v\u00edrus brasileiro permite controle total do smartphone"},"content":{"rendered":"

Nossos especialistas descobriram mais uma fam\u00edlia de trojans banc\u00e1rios m\u00f3veis: a TwMobo. Al\u00e9m disso, confirmaram tr\u00eas tend\u00eancias importantes: crescimento do interesse dos cibercriminosos nas fraudes via celular, internacionaliza\u00e7\u00e3o das amea\u00e7as m\u00f3veis brasileiras para a Am\u00e9rica Latina, Europa e EUA, e a prefer\u00eancia pelos RATs (Remote Access Trojan<\/em>) \u2013 malware que permite burlar os mecanismos de dupla autentica\u00e7\u00e3o \u2014 que usam a digital, reconhecimento facial ou tokens digitais no celular.<\/p>\n

O aumento das transa\u00e7\u00f5es banc\u00e1rias e no e-commerce, motivado pelas regras de isolamento social, resultou em preocupa\u00e7\u00e3o com o crescimento das fraudes online \u2013 acelerando a ado\u00e7\u00e3o de tecnologias de dupla autentica\u00e7\u00e3o. Como consequ\u00eancia, o cibercrime encontrou nos RATs<\/a> m\u00f3veis uma forma de burlar esta prote\u00e7\u00e3o. Isso significa que um cibercriminoso poder\u00e1 ter tamb\u00e9m os c\u00f3digos de dupla autentica\u00e7\u00e3o enviados por SMS, e-mail ou gerados em apps. Outro benef\u00edcio (para o hacker) \u00e9 a fraude ser realizada no celular da v\u00edtima \u2013 tornando sua identifica\u00e7\u00e3o pela institui\u00e7\u00e3o (financeira ou varejo) muito dif\u00edcil.<\/p>\n

\u201cEste tipo de fraude \u00e9 chamado de \u2018golpe da m\u00e3o fantasma\u2019, pois parece que o celular tem vida pr\u00f3pria \u2014 os apps abrem sozinhos, mas na realidade o cibercriminoso est\u00e1 operando remotamente. O esquema \u00e9 t\u00e3o efetivo que, das tr\u00eas fam\u00edlias de RAT m\u00f3vel brasileiras<\/a>, duas j\u00e1 se expandiram pela Am\u00e9rica Latina, Europa e Estados Unidos, usando operadores locais para sacar o dinheiro. Estes grupos seguem o modelo de Malware-As-a-Service<\/em><\/a> do cibercrime do leste europeu \u2013 o que permitiu a expans\u00e3o r\u00e1pida\u201d, afirma Fabio Assolini, nosso analista s\u00eanior de seguran\u00e7a na Am\u00e9rica Latina.<\/p>\n

O especialista ainda destaca que o novo RAT m\u00f3vel traz caracter\u00edsticas interessantes. Al\u00e9m do interesse nos apps de bancos, ainda rouba senhas salvas no navegador e das redes sociais. At\u00e9 agora, foram identificadas cinco institui\u00e7\u00f5es banc\u00e1rias alvos do TwMobo: quatro bancos brasileiros e uma organiza\u00e7\u00e3o internacional. \u201cPara disseminar este malware, os cibercriminosos invadem sites com muita audi\u00eancia e inserem um script malicioso. Quando um internauta acessa este site infectado, ver\u00e1 uma notifica\u00e7\u00e3o dizendo que o dispositivo est\u00e1 infectado e pedindo para executar uma limpeza. Claro que ao aceitar isso, a v\u00edtima permite a instala\u00e7\u00e3o do RAT \u2013 uma vez instalado, o app fica oculto e n\u00e3o \u00e9 poss\u00edvel realizar a desinstala\u00e7\u00e3o manualmente\u201d, detalha Assolini.<\/p>\n\n

Antes desta amea\u00e7a, a Kaspersky j\u00e1 havia anunciado a descoberta dos RATs BRata<\/a> e Ghimob<\/a>. O mais antigo \u00e9 o BRata, anunciado em 2019, mas o grupo atuava apenas no Brasil. \u201cHoje est\u00e1 ativo tamb\u00e9m nos EUA e na Europa. Ele continua se disfar\u00e7ando de apps falsos em lojas oficiais. Recentemente, identificamos um desses apps com mais de 40 mil instala\u00e7\u00f5es. Outra novidade \u00e9 que recentemente foram adicionados seis comandos no c\u00f3digo, tornando-o preparado para realizar fraudes em bancos que atuam no M\u00e9xico.\u201d<\/p>\n

Sobre o Ghimob, nosso analista refor\u00e7a o interesse crescente dos trojans brasileiros na Europa. Ap\u00f3s o Brasil (com 113 apps registrados no c\u00f3digo do malware), aparecem a Alemanha com 5 institui\u00e7\u00f5es, Portugal (3), Peru (2) e Paraguai (2). \u201cA principal novidade do Ghimob \u00e9 a t\u00e9cnica utilizada para burlar a autentica\u00e7\u00e3o biom\u00e9trica. Os criminosos ligam para as v\u00edtimas se passando pelo suporte t\u00e9cnico do banco e pedem para confirmar a identidade dela por meio de uma chamada de v\u00eddeo. Neste momento, gravam a liga\u00e7\u00e3o para usar o v\u00eddeo na autentica\u00e7\u00e3o banc\u00e1ria\u201d, explica.<\/p>\n

Por fim, Assolini alerta que a melhor prote\u00e7\u00e3o contra estas novas amea\u00e7as \u00e9 a preven\u00e7\u00e3o, pois, uma vez infectada, a v\u00edtima s\u00f3 conseguir\u00e1 eliminar os RATs usando uma solu\u00e7\u00e3o de seguran\u00e7a<\/a> no celular. \u201cO TwMobo fica oculto ap\u00f3s a instala\u00e7\u00e3o. Como os criminosos tem controle do dispositivo e permiss\u00f5es de administradores, podem simplesmente ocultar o \u00edcone em seu primeiro acesso remoto. Assim, a melhor prote\u00e7\u00e3o \u00e9 tomar cuidado com as mensagens falsas (phishing), notifica\u00e7\u00f5es que pedem a instala\u00e7\u00e3o de algum programa no celular e ter uma solu\u00e7\u00e3o de seguran\u00e7a no dispositivo.\u201d<\/p>\n","protected":false},"excerpt":{"rendered":"

Kaspersky descobre 3\u00aa fam\u00edlia de RATs brasileiros para dispositivos m\u00f3veis. Principais alvos dos ataques est\u00e3o no Brasil e no exterior<\/p>\n","protected":false},"author":2706,"featured_media":17574,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,14],"tags":[34,820,35,2763,254],"class_list":{"0":"post-18026","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-android","10":"tag-klsec","11":"tag-malware-2","12":"tag-mobile-banking","13":"tag-rat"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/hackers-brasileiros-exportam-virus-mobile-banking-twmobo\/18026\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/klsec\/","name":"KLSEC"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/18026","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=18026"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/18026\/revisions"}],"predecessor-version":[{"id":18027,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/18026\/revisions\/18027"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/17574"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=18026"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=18026"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=18026"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}