Parece nome de filme de terror, mas é a mais pura realidade: a vítima abre o celular, tenta desbloqueá-lo e a tela fica toda preta. Ela repete o padrão de desbloqueio, mas a interface permanece a mesma. Ela não se lembra de ter aberto o aplicativo bancário nos últimos segundos, mas, mesmo assim, o aparelho está roubando o saldo de sua conta... Trata-se de um Ataque da Mão Fantasma, uma nova categoria de malware de alto risco nascido no Brasil e que já vem fazendo vítimas em outros países.
Nomeado oficialmente de Ghost Hand Attack, a
modalidade foi apresentada no Fórum Konferencia@Casa 2021 da Kaspersky,
e ataca exclusivamente dispositivos móveis. O analista de segurança digital Fábio
Assolini descreveu o golpe como “uma mão invisível, que usa o
celular bem na frente do usuário” e depende tanto de malwares quanto de
fraudes para operacionalizar.
Na prática, o cambalacho funciona assim: um trojan
de acesso remoto (RAT) é instalado através de um email
fraudulento que oferece uma atualização falsa de aplicativo ou via táticas de scareware
(os famosos anúncios alarmistas de “seu Android está infectado”). Uma
vez instalado, o programinha malicioso abre as portas do sistema ao
cibercriminoso, que pode utilizar o dispositivo remotamente e em tempo real.
Os RATs burlam todos os sistemas de autenticação
de usuário e dão prioridade aos golpistas. Em todos os casos de Ghost Hand
Attack, eles assumem privilégio administrativo do dispositivo, e removê-los
é complicado — quando detectam uma tentativa de desinstalação, essas pragas
fecham a tela automaticamente ou se escondem atrás da lista de apps legítimos.
Até o momento, três famílias de RATs usadas em Ataques
de Mão Fantasma foram detectadas pelas instituições: o grupo de trojans
bancários Ghimob, BRata e TwMobo, que atuava apenas
no Brasil, mas já vem fazendo vítimas entre usuários domésticos e corporativos
na América Latina, Europa e nos Estados Unidos. Para piorar, em se tratando de
operações feitas a partir do celular da vítima, é difícil para instituições
financeiras detectarem que as transferências resultaram de fraudes.
Pioneiro dos malwares de Ghost Hand Attack, o BRata
surgiu em 2019 e reapareceu atualmente como um app falso disponível na própria Google
Play Store. Ao infectar um dispositivo, ele redireciona o usuário para páginas
de phishing que dão total controle do aparelho ao invasor. No seu
ressurgimento, essa peste trouxe seis novas linhas de código que são usadas
para roubo de contas bancárias internacionais (o número de instalações desse
app chegou a 40 mil).
O Ghimob é outro trojan remoto que age de maneira
similar. Ao detectar o uso do recurso de movimento do smartphone, o trojan
rastreia os acessos de tudo o que a vítima vê e faz, podendo capturar senhas e
padrões de desbloqueio.
O mais recente dos três Ghost Hand Attacks é
ainda mais perigoso. Batizados de “Duro de Matar”, os trojans TwMobo
não só assumem o controle total do smartphone como também travam o dispositivo
no Modo de Proteção. Além de mirar dados bancários e redes sociais, esses
programinhas monitoram o comportamento das vítimas e capturaram imagens e
interesses que vendem em e-commerces, agindo como uma versão mais
nefasta dos rastreadores do Facebook.
Os ataques dessa família utilizam proteções mais
avançadas que as anteriores. “O TwMobo fica oculto após a instalação,” alerta
Assolini. “Como os criminosos têm controle do dispositivo e
permissões de administradores, podem simplesmente ocultar o ícone em seu
primeiro acesso remoto.”
Em todas as incidências desta variação, o Ataque de
Mão Fantasma só foi removido mediante um reset de fábrica e, em alguns
casos, através da varredura de um antivírus atualizado.
Com Olhar Digital
