Um novo tipo de 'app espião' está afetando usuários brasileiros. Ele se passa por atualização do WhatsApp para se instalar no celular da vítima. Quando começa a funcionar, é capaz enviar informações confidenciais para os criminosos em tempo real, além de permitir acesso remoto ao aparelho sem que o dono possa ver.
O malware, chamado de BRata, que foi descoberto este ano e já fez mais de 20 mil vítimas, foi divulgado nesta quarta-feira (28), durante a Conferência Latinoamericana de Segurança da Kaspersky, na Argentina. O diretor da equipe de segurança e análise da empresa Dmitry Bestuzhev, explicou como o app malicioso funciona e como fazer para se proteger.
Malware BRata é "um espião em seu bolso", explica Dmitry Bestuzhev — Foto: Nicolly Vimercate/TechTudo |
O que o BRata tem de diferente
O software espião foi criado no Brasil, está todo em português e faz suas vítimas no país. Por isso, foi batizado de BRata: Brazilian RAT, sigla para Remote Access Tool, ou Ferramenta de Acesso Remoto, em português. Embora seja de um tipo de trojan (família de malwares que é velha conhecida dos pesquisadores de segurança), trata-se de “um trojan que espiona seu bolso”, como explica Dmitry.
“Este não é um trojan bancário clássico, que rouba informações de banco. Ele também permite espelhar a tela do celular infectado e tem total capacidade de espionagem do aparelho. Não é só sobre roubo de credenciais que estamos falando, mas sobre o roubo de qualquer informação disponível no celular da vítima”, destaca.
Para além dos danos financeiros, estão os prejuízos à privacidade dos usuários. Apps maliciosos como esses são capazes de ler e enviar mensagens, acessar a localização do usuário, ver fotos, ler o histórico de sites visitados, habilitar a câmera e o microfone do dispositivo e entrar nos aplicativos, inclusive, de banco, usando o login e a senha verdadeiros. “Neste cenário, podemos dizer que o BRata é muito interessante, único e também perigoso”, alerta Dmitry.
Como o aplicativo espião funciona
Para conseguir que os usuários baixem o app, os criminosos precisam disfarçá-lo de algo atrativo, como uma atualização de WhatsApp e enganar as lojas de aplicativos. A primeira ameaça foi detectada pela equipe da Kaspersky em janeiro deste ano, mas o pico de instalações aconteceu em junho, quando o WhatsApp avisou aos seus 1 bilhão de usuários que havia uma vulnerabilidade no app e que todos deveriam fazer o update urgente. Um programa falso conseguiu entrar na Google Play Store com essa “fachada” e foi baixado mais de 10 mil vezes — assim que foi avisado, o Google retirou o app do ar. Sem saber a maneira certa de atualizar o WhatsApp, muitos usuários clicaram em um desses BRatas. Pensaram estar se protegendo, mas estavam trazendo o inimigo para dentro de casa.
Applicativo falso se passa por atualização do WhatsApp na Play Store — Foto: Divulgação/Kaspersky |
Uma vez que o malware está hospedado no celular, tudo o que a pessoa faz no aparelho pode ser visto pelo criminoso. Quando o app do banco é aberto, por exemplo, o bandido consegue ver tudo que está sendo digitado no teclado, como os números de agência, conta e senha.
As informações são enviadas para um programa no computador do bandido, que espera o melhor momento, e usa o próprio smartphone da vítima para entrar no app e fazer transações — até mesmo escurecendo a tela para ocultar suas ações no celular. Com isso, o banco também não consegue detectar que houve uma fraude, já que o acesso foi feito de um aparelho legítimo.
Quando o golpe é concluído, o aplicativo malicioso é desinstalado do celular sem que o dono precise fazer nenhuma ação. Ou seja, quando perceber que algo de errado aconteceu em sua conta bancária já será tarde demais.
“Outra particularidade do BRata”, destaca Dmitry, “é que ele não é usado apenas por um grupo, ele está disponível para venda no mercado ilegal”. Com poucos cliques, qualquer pessoa mal-intencionada pode usar os apps de um celular remotamente. Qualquer pessoa mesmo: o software pode ser comprado pela Internet por cerca de R$ 3.000. “Quem pagar esta quantia, terá acesso ao programa, ao suporte técnico e mais informações”.
Anúncio na Internet oferece malware BRata por R$ 3 mil reais — Foto: Divulgação/Kaspersky |
Como se proteger
Até o momento, 20 versões do malware “HEUR:Backdoor.AndroidOS.Brata” foram identificados pela empresa de segurança — todos voltados para Android, que representa 86% dos celulares no Brasil, de acordo com a empresa StatCounter. Além de ficarem hospedados na Google Play, os BRatas podem ser encontrados em lojas de aplicativos não-oficiais. O ataque também pode vir por outros meios: pode chegar por mensagens de texto no WhatsApp ou SMS ou em forma de notificação, quando o usuário entra em um site hackeado e recebe um aviso dizendo para instalar algo.
“Em todos os três casos”, explica Dmitry, “vemos uma coisa em comum: engenharia social. Nesse tipo de ataque, o que é explorado não é uma brecha do sistema, em si, mas a falta de informação das pessoas. Se os usuários souberem como esses truques funcionam, com certeza, podem se proteger melhor, pois não vão clicar, vão fechar a janela, rejeitar a mensagem, e pensar duas vezes instalar algo apenas porque está na loja de apps do Google”, aponta.
Cuidado com as permissões — Para que o aplicativo malicioso tome o controle do celular, primeiro, o usuário precisa aceitar as permissões exigidas pelo app, que podem ir desde acessar a agenda de contatos até ter status de administrador do aparelho. Quem quiser evitar a infecção do aparelho, então, deve analisar com cuidado todas as demandas do aplicativo e suspeitar, caso peça autorização para acessar alguma área que não é usada para o funcionamento do app.
Pense antes de clicar — URLs desconhecidas ou suspeitas devem ser evitadas mesmo que o link tenha sido enviado por um amigo ou familiar. O mesmo vale para as notificações que “saltam” na tela ao acessar sites e aplicativos.
Desconfie sempre — Embora os golpes estejam se tornando cada vez mais sofisticados, é comum que haja indícios da farsa. O BRata encontrado pela Kaspersky, por exemplo, estava disponível com a logo do WhatsApp em azul e o nome “Atualização Whats App V2.0”, além de ter sido criado por um desenvolvedor desconhecido (JCLAlpp) - se fosse o app verdadeiro, teria a chancela do Facebook, empresa dona do app de mensagens original.
“O crime organizado brasileiro é muito criativo”, alerta Dmitry. “Infelizmente, o BRata é o primeiro de tantos outros ataques que virão. Os criminosos estão livres, dificilmente serão pegos e vão inventar novas versões do golpe”, lamenta o especialista.
Por Nicolly Vimercate / TecTudo
Brasil