0
0
Outro Trojan bancário do Android com a capacidade de fazer transferências instantâneas de dinheiro não autorizadas tem como alvo os bancos brasileiros como parte de uma tendência crescente entre os agentes de ameaças de explorar um novo sistema de pagamento automatizado na América Latina.
O novo GoatRAT – como BraxDex, Senomorphy e PixPirate antes dele – rouba a chave Pix dos dispositivos móveis que visa fazer pagamentos instantâneos de contas comprometidas, revelaram pesquisadores da Cyble em uma postagem no blog . Os invasores por trás do GoatRAT usam essa chave para acessar a plataforma de pagamento Pix, criada e operada pelo Banco Central do Brasil para que os usuários façam pagamentos móveis instantâneos em toda a América Latina usando vários bancos.
Até agora, os pesquisadores do Cyble observaram o RAT – que, segundo eles, foi criado primeiro como uma ferramenta de administração remota do Android para assumir o controle dos dispositivos das vítimas – visando três bancos brasileiros: NUBank, Banco Inter e PagBank.
Fazer transferências automatizadas parece ser o único objetivo do Trojan, que, ao contrário de malware semelhante, não inclui a capacidade de roubar códigos de autenticação ou mensagens SMS recebidas, de acordo com as descobertas.
O malware faz parte de uma tendência crescente de agentes de ameaças nos últimos seis meses para criar malware bancário mais sofisticado que inclui uma estrutura de sistema de transferência automática (ATS), “permitindo que invasores realizem transferências de dinheiro não autorizadas em dispositivos infectados”, escreveram os pesquisadores do Cyble .
“Esta nova variante destaca que, no cenário tecnológico atual, há um risco elevado de ataques cibernéticos que não requerem múltiplas permissões ou muitas funcionalidades de trojans bancários para executar fraudes financeiras”, disse o relatório.
De fato, a implantação geral do Trojan bancário móvel está aumentando , com quase 200.000 novas variantes desse malware surgindo em 2022, de acordo com o relatório “Ameaças móveis em 2022” da Kaspersky. Esse número representa um aumento de 100% em relação ao ano anterior e a maior aceleração do desenvolvimento de malware móvel vista nos últimos seis anos.
Como o GoatRAT faz transferências instantâneas
O GoatRAT normalmente usa um processo de quatro etapas para realizar transferências automatizadas depois de infectar o dispositivo do usuário. Os pesquisadores descreveram o sistema usado especificamente para o aplicativo de mobile banking do Banco Inter; no entanto, o Trojan também incorporou funções semelhantes para realizar transferências automáticas para outros aplicativos bancários, como NUBank e PagBank, que visam, disseram eles.
O GoatRAT primeiro abusa do Serviço de Acessibilidade em um dispositivo Android para verificar se o nome do pacote ativo corresponde a um de uma lista de nomes de pacotes de aplicativos direcionados e, em seguida, implanta uma nova infecção.
Depois que o aplicativo de destino é identificado, o malware cria uma falsa janela de sobreposição bancária que aparece acima do aplicativo legítimo para ocultar sua atividade maliciosa da vítima. Este e outro processo secreto permitem que o Trojan insira uma quantia em dinheiro para transferir, bem como a chave Pix do dispositivo, no aplicativo bancário legítimo sem alertar a vítima, disseram os pesquisadores.
O malware também apresenta um mecanismo de clique automático para os botões “Confirmar” e “Pagar” do aplicativo bancário legítimo para concluir a transferência instantânea de dinheiro. Uma vez concluída a transferência, ela remove a janela de sobreposição da parte superior do aplicativo bancário legítimo e o processo malicioso é concluído.
Defendendo-se contra Trojans ATS
Os pesquisadores fizeram várias recomendações de segurança que acompanham as práticas recomendadas típicas para baixar e usar aplicativos móveis para manter os dispositivos livres de infecções por cavalos de Tróia e outros malwares que não apenas podem roubar fundos, mas também se espalhar para redes corporativas por meio de dispositivos conectados.
Os usuários de dispositivos móveis só devem baixar e instalar software de lojas de aplicativos oficiais, como Google Play Store ou iOS App Store, e usar um pacote de software antivírus e de segurança da Internet de renome em todos os dispositivos conectados, incluindo não apenas dispositivos móveis, mas também em PCs e laptops, o pesquisadores aconselharam.
Eles também recomendaram que os usuários nunca compartilhem detalhes de cartões de pagamento com fontes não confiáveis e usem senhas fortes e imponham autenticação multifator (MFA) em dispositivos móveis sempre que possível. Além disso, a implementação de recursos de segurança biométrica, como impressão digital ou reconhecimento facial para desbloquear seus dispositivos móveis sempre que possível, é fundamental, disseram os pesquisadores.
Outras regras de segurança de bom senso que os pesquisadores recomendam, mas que os usuários geralmente ignoram, são manter os dispositivos, sistemas operacionais e aplicativos atualizados e evitar a abertura de links recebidos por SMS ou e-mails enviados para dispositivos móveis. Os usuários devem ter cuidado ao habilitar quaisquer permissões nos dispositivos e garantir que o Google Play Protect esteja habilitado nos dispositivos Android, acrescentaram os pesquisadores da Cyble.
FONTE: DARK READING