Ataque da Mão Fantasma

 

Novo golpe brasileiro rouba a vítima diante de seus próprios olhos.

Imagine a cena: você abre o celular, tenta desbloqueá-lo e, de repente, a tela está toda preta. Parece tudo normal, então você repete o padrão de desbloqueio. A interface permanece a mesma, mas você não lembra de ter aberto o aplicativo bancário nos últimos segundos. 

E, nessa altura você vê o celular, sozinho, roubando todo o seu saldo bancário. Parece um pesadelo, mas é pior — é verdade. Este é um Ataque da Mão Fantasma, uma nova categoria de malware de alto risco nascido no Brasil e já perturba vítimas internacionais.

Nomeado oficialmente de Ghost Hand Attack, a modalidade foi apresentada no dia (31/08/ 2021), no Fórum: Konferencia@Casa 2021 da Kaspersky, ele ataca exclusivamente dispositivos móveis. 

Este golpe é descrito como “uma mão invisível, que usa o seu celular bem na sua frente”..

Trata-se de um trojan de acesso remoto ele é instalado por e-mail fraudulento que oferece uma atualização falsa de aplicativo, ou táticas de scareware (um software malicioso que engana os usuários, levando-os a visitar sites infestados de malware).

Os famosos anúncios alarmistas como: “seu Android está infectado”. E então, o programa abre acesso ao cibercriminoso, que pode utilizar o seu celular em tempo real.

O Trojan de acesso remoto burla todos os sistemas de autenticação de usuário, e dá prioridade do Smartphone aos golpistas. Em todos os casos de Ghost Hand Attack, os malwares assumem privilégio administrativo do dispositivo. 

E removê-los não é fácil. Ao tentar desinstalar, os programas maliciosos fecham a tela automaticamente, ou ainda, ocultando-os da lista de apps instalados.

Ataque da Mão Fantasma é indetectável para instituições financeiras

Até o dia da publicação desse texto, apenas três famílias de RATs usadas em Ataques de Mão Fantasma foran detectadas pelas instituições: o grupo de trojans bancários Ghimob, BRata e TwMobo. Inicialmente atuando apenas no Brasil.

Os três programas maliciosos já vitimaram pessoas e instituições na América Latina, Europa e nos Estados Unidos.

E por se tratar de operações diretamente do celular da vítima, é difícil para instituições financeiras detectarem que as transferências originam de fraudes. 

Os Trojans de acesso remoto não furam bloqueios de segurança ou de acesso pessoal diretamente do dispositivo infectado. 

Porém, possuem acesso direto aos fatores de autenticação, como código SMS e e-mail, podendo mudar as senhas do e-mail dao dono do aparelho infectado.  

Malwares surgiram em 2019, mas se intensificaram agora

Trojam bancário remoto Ghimob retorna com novos bancos como alvo.

O pioneiro dos malwares de Ghost Hand Attack, o BRata surgiu em 2019, e reapareceu atualmente com algumas modificações. 

O trojan aparece como app falso na própria Google Play Store e, ao infectar um dispositivo, permite total controle remoto do aparelho, redirecionando-o para páginas de phishing.

O BRata reapareceu com seis novas linhas de código, para roubo de contas bancárias internacionais. O número de instalações deste app de Ataque de Mão Fantasma chegou a 40 mil.

O Ghimob é outro trojan remoto que age de maneira similar. Ao abusar do recurso de detecção de movimento do Smartphone, usado para orientar pessoas com problemas de visão, o trojan rastreia os acessos de tudo o que a vítima vê e faz. Dessa maneira, captura senhas e padrões de desbloqueio.

"A principal novidade do Ghimob é a técnica utilizada para burlar a autenticação biométrica”, explica Assolini. 

“Os criminosos ligam para as vítimas se passando pelo suporte técnico do banco e pedem para confirmar a identidade dela por meio de uma chamada de vídeo. Neste momento, gravam a ligação para usar o vídeo na autenticação bancária”.

TwMobo só é removido com reset de celular ou antivírus

Porém, o mais recente dos três Ghost Hand Attacks causa uma preocupação ainda maior. Batizado de “Duro de Matar”, os trojans TwMobo não só assumem o controle total do Smartphone, mas também travam o dispositivo no Modo de Proteção.

O perigo deste último malware está no fato de que ele não mira apenas dados bancários e redes sociais, mas todo o comportamento da vítima. 

O trojan também capta visualizações e interesses da vítima para vender os dados a e-commerces, agindo como uma versão mais nefasta dos rastreadores do Facebook.

Malware espiona redes sociais e páginas visitadas para vender dados a empresas.

Para piorar, os ataques desta família utilizam proteções mais avançadas que as anteriores. “O TwMobo fica oculto após a instalação,” alerta Assolini. 

“Como os criminosos tem controle do dispositivo e permissões de administradores, podem simplesmente ocultar o ícone em seu primeiro acesso remoto.”

O especialista avisa que, em todas as incidências desta variação, o Ataque de Mão Fantasma só foi removível por um reset de fábrica, ou com uma varredura de um antivírus atualizado.

Escrito por: Evaldo Pinheiro