Uma investigação dos especialistas da Kaspersky no Brasil revelou um novo tipo de golpe financeiro que consegue redirecionar uma transferência PIX. Classificado como a evolução do conhecido esquema da “Mão Fantasma”, ele realiza fraudes bancárias no celular da própria vítima de maneira automática devido a adoção da técnica ATS (sigla em inglês para Automated Transfer System). A empresa de cibersegurança já detectou mais de 6.300 ataques desse tipo desde janeiro de 2023, e este golpe é o segundo mais bloqueado no país. Confira dicas para se proteger contra essa nova ameaça.

O Brasil já é o país mais atacado por trojan bancário (desktop) no mundo e já é o quinto quando leva-se em consideração apenas esses golpes no celular. O Panorama de Ameaças de 2023 da Kaspersky reforça ainda a tendência identificada em 2022 que coloca o malware financeiro de origem brasileira como o principais responsável pelas fraudes bancárias no Brasil e na América Latina – e eles ainda ganham cada vez mais notoriedade no âmbito internacional.

Essa referência global se reflete na criação de novos golpes financeiros, sendo o bloqueio de pagamentos com cartão de crédito sem contato, o golpe da mão fantasma e o redirecionamento do PIX exemplos das inovações recentes do cibercrime brasileiro. A primeira família de trojan bancário para celular usando a automação foi identificada em dezembro de 2012 e, de lá para cá, já foram registradas um total de 7 famílias de trojans bancários usando a técnica ATS. Entre os grupos mais ativos, está o malware BRats, que é o 2º ameaça mais detectada no Brasil com 2.100 bloqueios entre janeiro e setembro deste ano.

Como o golpe começa?

Os criminosos precisam infectar o celular das vítimas com o trojan bancário para realizar a fraude. Para isso, a investigação identificou app de jogos servindo como disfarce. Para motivar as vítimas a baixá-lo, ainda era oferecido prêmios. Porém, os especialistas alertam que qualquer app popular pode servir como disfarce, além de que esses apps falsos estarão (na maioria das vezes) fora das lojas oficiais.

Uma vez instalado, o trojan bancário solicitará a permissão de acessibilidade – que é uma ferramenta presente em todos os celulares Android que permitem que pessoas com deficiência física usem o dispositivo. Para convencer a pessoa a autorizar essa permissão, o vírus mostra uma mensagem de “atualização” necessária do app falso – ela será apresentada até que a vítima aceite. Essa etapa é essencial, pois o golpe não ocorrerá sem ela.

Como ocorre o redirecionamento do PIX?

“Dizer que o novo golpe redireciona o PIX é uma maneira simples de explicar como a fraude ocorre. Como muitas pessoas usam a digital ou o reconhecimento facial para autenticar uma transferência bancária, o malware que usa a técnica do ATS espera a vítima acessar o app do banco para atuar”, explica Fabio Marenghi, analista sênior da Kaspersky no Brasil.

“Quando um PIX é feito, o malware ATS irá bloquear a tela na etapa “processando transferência”. Enquanto a pessoa espera, o vírus vai clicar em “voltar” e alterar o destinatário e o valor da transferência. Essa troca ocorre rapidamente, justamente porquê todo o processo foi automatizado. Quando a tela retorna para o correntista colocar a senha, a troca foi feita. Por isso a sensação de que há o redirecionamento”, completa.

O especialista esclarece ainda que o malware tem a capacidade de realizar a fraude enquanto o celular está com a tela desligada. A preferência pelo “redirecionamento” é apenas uma forma mais simples para burlar a autenticação biométrica. Outro detalhe importante é a maneira que a transferência ocorre: via PIX. Esse método é usado por ser instantâneo, porém o malware pode realizar transferências entre contas da mesma instituição bancária ou usar outros métodos (como via TED ou TEF).

Rápido crescimento

O ranking da Kaspersky mostra a família de trojan bancário para celular Banbra como a mais popular no Brasil, com mais de 2.500 bloqueios neste ano. Mas o analista da empresa chama atenção para um detalhe importante: o golpe da mão fantasma existe há cinco anos – já as novas famílias de trojans que automatizam a fraude é a técnica mais usada em apenas 9 meses.

“A mão fantasma é um golpe em que o criminoso realiza manualmente a fraude. Quando se automatiza a tarefa, o criminoso pode focar 100% do seu “trabalho” na infecção de novas vítimas – só nisso é possível aumentar os lucros. Outro ponto importante, é que – quando o criminoso está dormindo ou decidir ir com a família para a praia no fim de semana, ele perde. Com o malware ATS, todas as oportunidades serão aproveitadas, pois o vírus faz todo o trabalho. Esses dois pontos-críticos justificam como esse novo golpe cresceu tão rápido”, explica Marenghi.

Para evitar ser vítima desse golpe, os especialistas da Kaspersky recomendam:

Baixe apps apenas da loja oficial: apesar de existirem app maliciosos nelas, a chance é muito menor de ser enganado. Sem falar que as empresas removem o app malicioso, dando mais trabalho para o criminoso. Já as lojas não-oficiais não têm o mesmo cuidado – sem falar que o site pode ser falso.
Nunca dê a permissão de acessibilidade: todos os trojans bancários modernos precisam dessa autorização para funcionar. Por outro lado, essa funcionalidade só é necessária caso a pessoa tenha alguma limitação física. Em outras palavras, se um app pedir essa autorização, há grandes chances de ser golpe. Fique atento!
Habilite a autenticação de dois fatores (2FA): proteja suas contas online, especialmente aquelas vinculadas a métodos de pagamento, com 2FA.
Use a solução de segurança: uma solução de segurança de qualidade, como o Kaspersky Premium, impedirá tanto o acesso do site falso onde se baixo o trojan bancário quanto sua instalação. Não dê bobeira e proteja o celular da mesma forma que o computador ou notebook.
Para se manter atualizado sobre novos golpes e como se proteger, siga o blog da Kaspersky.

Sobre a Kaspersky

A Kaspersky é uma empresa global de cibersegurança e privacidade digital fundada em 1997. O seu profundo conhecimento do panorama de inteligência de ameaças e a sua experiência leva à criação contínua de soluções de segurança e serviços para proteger as empresas, infraestrutura críticas, Governos e consumidores por todo o mundo. O portfólio de segurança da empresa inclui a solução líder de proteção para endpoint e um vasto número de programas e serviços de segurança especializados – que incluem soluções de Ciberimunidade – que visam combater ameaças digitais mais sofisticadas e em permanente evolução. Atualmente, mais de 400 milhões de utilizadores estão protegidos pelas tecnologias da Kaspersky e a empresa ajuda cerca de 220.000 clientes corporativos a proteger o que lhes é mais importante. Mais informações no site.

COMPARTILHE NAS REDES SOCIAIS