Ainda estamos no meio do boom dos smartphones. Nos últimos dois anos, mais de 50% de todos os dispositivos móveis usados pelos consumidores são smartphones. Por sua vez, isso leva a um grande problema: as ciberameaças móveis. Enquanto os usuários de PC já estão acostumados com pelo menos uma “higiene de segurança” básica, a maioria dos usuários de smartphones ainda considera seu dispositivo 'apenas um telefone', que está na mesma categoria de um ferro ou de uma máquina de lavar - então por que se preocupar?
O smartphone de hoje é um computador completo, muito mais poderoso do que o que você tinha há 10 anos. E é um computador perigoso. Enquanto o disco rígido do seu PC pode não conter nada de valor, além de alguns trabalhos de pesquisa de seus anos de faculdade e uma pilha de fotos de suas férias recentes, é muito provável que seu smartphone contenha dados, o que é valioso para você e para o cibercriminosos.
Se você tiver um smartphone, é bem provável que também tenha um cartão do banco. Como os bancos usam número de telefone celular para autorização (eles enviam senhas únicas por SMS), faz todo o sentido que os cibercriminosos penetrem nesse canal de comunicação e executem pagamentos e transferências de sua conta bancária.
[Mergulhe fundo no mundo da tecnologia e cadastre-se no Avance Network a verdadeira comunidade criptografada]
Com isso dito, não é de se admirar que os cavalos de Troia bancários sejam as ameaças móveis mais proeminentes: eles constituem mais de 95% do malware móvel. Mais de 98% dos ataques a bancos móveis têm como alvo dispositivos Android, o que também não é surpresa. O Android é a plataforma móvel mais popular do mundo (mais de 80% do mercado global de smartphones) e, de todas as plataformas móveis populares, apenas o Android permite fazer o side-load de software.
Embora os cavalos de Tróia sejam menos perigosos do que os vírus, uma vez que exigem ações do usuário para se infiltrar nos sistemas, há uma série de técnicas eficientes de engenharia social, que induzem um usuário a configurar o cavalo de Tróia imitando, digamos, uma atualização importante ou um nível de bônus para o seu jogo favorito para celular. Além disso, explorações abundantes são capazes de executar o malware automaticamente, uma vez que um usuário acidentalmente executa o arquivo malicioso.
Existem três métodos principais que os Trojans bancários utilizam:
• Escondendo o texto: o malware nos telefones esconde os SMS recebidos dos bancos e os envia aos criminosos, que transferem dinheiro para suas contas.
• Pequenos movimentos de dinheiro: Os usuários de malwares ocasionalmente transferem quantias modestas de dinheiro para contas fraudulentas de uma conta de usuário infectada.
• Espelhamento de aplicativos: o malware imita os aplicativos móveis dos bancos e, ao obter as credenciais do usuário para fazer login no aplicativo real, realiza as duas ações acima
Os principais cavalos de Troia bancários (mais de 50%) têm como alvo a Rússia e os países da CEI, bem como a Índia e o Vietnã. Ultimamente, a nova geração de malware universal móvel está em ascensão. Este grupo pode baixar perfis atualizados de diferentes bancos estrangeiros dos EUA, Alemanha e Reino Unido.
O avô de todos os cavalos de Troia de banco móvel é o Zeus, também conhecido como Zitmo (Zeus-in-the-mobile), que surgiu em 2010 (seu ancestral para PC, também chamado de Zeus, foi criado em 2006). Esse malware conseguiu infectar mais de 3,5 milhões de dispositivos apenas nos EUA e criar o maior botnet da história.
Este é um sequestrador clássico, que salva as credenciais de login que um usuário insere na interface do m-bank e as envia para um criminoso que então é capaz de fazer login no sistema usando as credenciais sequestradas e executar transações fraudulentas (o Zitmo foi capaz de contornar dois -fator de autenticação).
Além disso, graças ao Zeus, os golpistas conseguiram escapar com mais de 74.000 senhas de FTP de vários sites (incluindo o Bank of America), alterando seu código para que fosse possível extrair dados de cartão de crédito após cada tentativa de pagamento. O Zeus estava muito ativo até o final de 2013, quando começou a ser empurrado para fora pelo Xtreme RAT mais atualizado. No entanto, o kernel do Trojan ainda está em voga entre os engenheiros de malware.
2011 viu o surgimento do SpyEye ; foi um dos Trojans banqueiros mais bem-sucedidos da história. Seu criador, Alexander Panin, vendeu o código no mercado negro por preços que variam de US $ 1.000 a US $ 8.500. De acordo com o FBI que anulou o criador do SpyEye, o número de compradores que modificou o Trojan para roubar dinheiro de vários bancos, totalizou 150. Um dos golpistas conseguiu roubar mais de $ 3,2 milhões em apenas seis meses.
Em 2012 foi encontrada outra espécie - Carberp . Este componente imitou aplicativos Android dos principais bancos russos, Sberbank e Alfa Bank, e direcionou seus usuários na Rússia, Bielo-Rússia, Cazaquistão, Moldávia e Ucrânia. Curiosamente, os culpados conseguiram publicar aplicativos falsos no Google Play.
O grupo cibercriminoso formado por 28 membros foi preso durante a operação conjunta russo-ucraniana. No entanto, o código-fonte do Carberp foi publicado em 2013, então qualquer pessoa poderia usá-lo para produzir seu próprio malware. Embora o Carberp original tenha sido criado essencialmente para países da ex-União Soviética, seus clones foram encontrados em todo o mundo, incluindo os EUA e países da Europa e América Latina.
Em 2013, o Hesperbot começou a reivindicar suas vítimas. O malware teve origem na Turquia e se espalhou globalmente por Portugal e República Tcheca. Além de causar problemas usuais, esse Trojan cria um servidor VNC oculto em um smartphone, que concede a um invasor acesso ao gerenciamento remoto de dispositivos.
Mesmo depois que o cavalo de Tróia desaparece, o acesso remoto permanece e permite que os invasores sequestrem todas as mensagens como se o dispositivo estivesse em suas mãos, oferecendo, conseqüentemente, outra oportunidade para instalar malware. Além disso, o Hesperbot agia não apenas como um Trojan bancário, mas também como um ladrão de bitcoins. O Hesperbot é distribuído por meio de campanhas de phishing que representam serviços de e-mail.
Em 2014, o código-fonte do Android.iBanking foi revelado. O iBanking é um kit ponta a ponta para SMS hi-jacking e gerenciamento remoto de dispositivos, com preço de até US $ 5.000. A publicação do código resultou em surto de infecções.
O kit inclui código malicioso que substitui um aplicativo bancário legítimo (o aplicativo original permanece totalmente funcional, mas é modificado para incluir uma gama mais ampla de recursos) e um programa do Windows com uma interface gráfica conveniente que permite controlar todos os smartphones afetados da lista que é automaticamente atualizado para incluir novas vítimas.
É fascinante que, embora haja uma versão gratuita da plataforma de malware, uma versão premium do kit é muito mais popular. Os usuários premium recebem atualizações regulares do produto e suporte ao cliente. No final daquele ano, mais dois cavalos de Tróia foram descobertos no Google Play e eram destinados ao Brasil e foram criados sem nenhuma habilidade especial de programação - baseados puramente no kit universal disponível.
Quando se trata de ataques bancários, o Brasil é uma geografia especial. Isso pode ser explicado pela popularidade do sistema de pagamento móvel Boleto . Ele permite que um usuário transfira dinheiro para outro por meio de cheques virtuais contendo um ID de pagamento exclusivo, que é transformado em um código de barras no visor e, em seguida, lido pelo telefone com câmera do destinatário.
Trojans especiais direcionados aos usuários do Boleto (como o Infostealer.Boleteiro), sequestram verificações geradas assim que pousam no navegador e as modificam imediatamente 'instantaneamente' para serem enviadas ao invasor.
Além disso, o Trojan monitora a entrada de ID no sistema Boleto em sites e aplicativos bancários (durante a reposição da conta no sistema) e clandestinamente troca ID legítima por IDs desonestos.
Em junho de 2015, um novo Trojan foi descoberto na Rússia; O Android.Bankbot.65.Origin foi disfarçado como o aplicativo Sberbank Online oficial corrigido e ofereceu 'uma gama mais ampla de recursos de m-banking', disponível após a instalação da 'versão mais recente'.
Na verdade, o aplicativo permaneceu como uma ferramenta funcional de m-banking, de modo que os usuários não perceberam a troca. Consequentemente, em julho, 100.000 usuários do Sberbank relataram uma perda de mais de 2 bilhões de rublos. Todos eles usaram o aplicativo nocivo “Sberbank Online”.
Nem é preciso dizer que a história dos cavalos de Tróia bancários ainda está sendo escrita: mais e mais novos aplicativos são criados e cada vez mais técnicas eficientes são utilizadas pelos invasores para atrair os usuários para sua armadilha. Então, é hora de você proteger seu smartphone adequadamente.
O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.
