O aumento das transações via celular resultou em preocupação com o crescimento das fraudes online – acelerando a adoção de tecnologias de dupla autenticação.

Recentemente, especialistas da Kaspersky identificaram mais uma família de trojans bancários móveis: a TwMobo. E após esta descoberta, perceberam três tendências relevantes para este tipo de golpe. A primeira característica é crescimento do interesse dos cibercriminosos nas fraudes via celular; a segunda é internacionalização das ameaças móveis brasileiras para a América Latina, Europa e EUA; e a terceira e a preferência pelos RATs (Remote Access Trojan) - malware que permite burlar os mecanismos de dupla autenticação, que usam a digital, reconhecimento facial ou tokens digitais no celular.

“Este tipo de fraude é chamado de ‘golpe da mão fantasma’, pois parece que o celular tem vida própria — os apps abrem sozinhos, mas na realidade o cibercriminoso está operando remotamente. O esquema é tão efetivo que, das três famílias de RAT móvel brasileiras, duas já se expandiram pela América Latina, Europa e Estados Unidos, usando operadores locais para sacar o dinheiro. Estes grupos seguem o modelo de Malware-As-a-Service do cibercrime do leste europeu – o que permitiu a expansão rápida”, afirma Fabio Assolini, analista sênior de segurança na América Latina Kaspersky.

O especialista ainda destaca que o novo RAT móvel traz características interessantes. Além do interesse nos apps de bancos, ainda rouba senhas salvas no navegador e das redes sociais. Até agora, foram identificadas cinco instituições bancárias alvos do TwMobo: quatro bancos brasileiros e uma organização internacional. “Para disseminar este malware, os cibercriminosos invadem sites com muita audiência e inserem um script malicioso. Quando um internauta acessa este site infectado, verá uma notificação dizendo que o dispositivo está infectado e pedindo para executar uma limpeza. Claro que ao aceitar isso, a vítima permite a instalação do RAT – uma vez instalado, o app fica oculto e não é possível realizar a desinstalação manualmente”, detalha Assolini.

Antes desta ameaça, a Kaspersky já havia anunciado a descoberta dos RATs BRata e Ghimob. O mais antigo é o BRata, anunciado em 2019, mas o grupo atuava apenas no Brasil. “Hoje está ativo também nos EUA e na Europa. Ele continua se disfarçando de apps falsos em lojas oficiais. Recentemente, identificamos um desses apps com mais de 40 mil instalações. Outra novidade é que recentemente foram adicionados seis comandos no código, tornando-o preparado para realizar fraudes em bancos que atuam no México.”

Assolini alerta que a melhor proteção contra estas novas ameaças é a prevenção, pois, uma vez infectada, a vítima só conseguirá eliminar os RATs usando uma solução de segurança no celular. “O TwMobo fica oculto após a instalação. Como os criminosos têm controle dos dispositivos e permissões de administradores, podem simplesmente ocultar o ícone em seu primeiro acesso remoto. Assim, a melhor proteção é tomar cuidado com as mensagens falsas (phishing), notificações que pedem a instalação de algum programa no celular e ter uma solução de segurança no dispositivo.”

Fonte: Kaspersky