As fraudes bancárias parecem ser sempre as armas prediletas dos cibercriminosos. A meta é bem simples: roubar dinheiro. A seguir, apresentamos a análise de algumas amostras de malware desenvolvidas para roubar dados bancários de instituições financeiras conhecidas no Brasil.
Os sistemas de Internet Banking no Brasil possuem diversos controles de segurança, o que não facilita o roubo de dados bancários. No Laboratório de Investigação da ESET América Latina recebemos recentemente dois cavalos de Troia detectados pela nossa solução antivírus como Win32/Spy.Bancos.ACD. As primeiras detecções da família Win32/Spy.Bancos aconteceram em 2004, e o objetivo das mesmas é roubar dados bancários, principalmente dados brasileiros. As variantes dessa família se diferenciam pelos protocolos que usam para enviar os dados roubados, por exemplo: FTP ou SMTP.
Quando o primeiro cavalo de Troia é executado, um navegador muito parecido com o Google Chrome aparece já na página de um banco bastante conhecido (ver imagem abaixo). O navegador é uma cópia falsa que simula a sua execução em tela cheia, e somente permite a interação de si mesmo com a página do banco em questão. Botões como o de “atualizar” não funcionam e, mesmo existindo a possibilidade de escrever na barra de endereços, não é possível acessar outros sites.
O site do banco é real, o navegador que é falso. O malware monitora as ações da vítima, esperando que a mesma digite seus dados (número de agência e conta corrente). O passo seguinte consiste em verificar que o nome do titular da conta é o que aparece na tela e digitar a senha de oito dígitos. Nesse passo, o site permite que o cliente utilize um teclado virtual, e através do mesmo, o malware capta as posições do mouse (se a vítima optar por usar esse método).
Todos os dados inseridos pelo usuário são armazenados pelo malware, que automaticamente envia um arquivo compactado a um e-mail utilizando o Gmail. A outra amostra mencionada no princípio do texto é parecida, a diferença é a instituição em questão, como podemos ver na imagem abaixo.
Ao analisar essa amostra, fica claro que um usuário desprotegido poder ser vítima de um roubo de dados bancários mesmo com um processo de autenticação complexo e com diversas etapas de validação de dados. Por essa razão, recomendamos a utilização de uma solução antivírus, e também observar que as ferramentas utilizadas para acessar o Internet Banking sejam utilizadas com precaução; caso as mesmas se diferenciem das habituais, é importante proceder com cautela.
