Na insistente busca por lucros econômicos, os cibercriminosos atacam diretamente os espaços onde os usuários administram seu dinheiro, ou seja, suas contas bancárias. Com o desenvolvimento de possibilidades para fazer todo tipo de transações pela Internet, os criminosos converteram estes serviços em grandes alvos, principalmente, aproveitando-se das vulnerabilidades.
Muitas ameaças podem ser utilizadas por um atacante: desde uma simples campanha de email, que contenha um link que redirecione a vítima para um site de phishing, a diferentes famílias de códigos maliciosos (com características particulares como o uso de Engenharia Social, interceptação do tráfego de rede ou modificação do sistemas, entre outras possibilidades).
Dentro desta ampla variedade, os trojans bancários tem um posto principal pelas facilidades que oferecem a um atacante. A seguir veja o top 5 das ameaças que roubam credenciais bancárias:
1. Engenharia Social, uma técnica que nunca falha
Quando falamos de códigos maliciosos do tipo trojan é inevitável não relacionarmos com as técnicas de Engenharia Social, principalmente se nos referimos as famílias dos trojans bancários.
A família Win32/Spy.Bancos tem a finalidade de roubar credenciais bancárias de entidades financeiras. As variantes deste grupo são diferenciadas pelos protocolos que utilizam para enviar os dados roubados, como por exemplo FTP ou SMTP.
Quando um usuário recebe uma amostra desse tipo de código malicioso e o executa, se abrirá em seu dispositivo uma janela muito semelhante a um navegador web que parece ser a página de uma entidade financeira.
Outras variantes desta mesma família esperam que o usuário abra um navegador e tente entrar em uma página legítima de um banco para abrir esse falso navegador. Neste caso, esse falso navegador não permite ao usuário acessar a outras páginas web, nem realizar outras atividades diferentes ao ingressar os dados nos formulários falsos.
2. Silenciosas modificações no sistema
Existem outros tipos de ameaças bancárias que realizam mudanças no sistema de forma “automática” quando o computador é iniciado; desta forma, o código malicioso consegue realizar as mudanças necessárias no sistema para alcançar seu objetivo. Apesar dos atacantes terem deixaram de lado este tipo de metodologia para afetar aos usuários, ainda é possível ver detecções desses códigos maliciosos.
A família de ameaças detectada pelas soluções da ESET como Win32/Qhost modifica o arquivo host do sistema para realizar um ataque de pharming local, redirecionando a vítima para sites de phishing. Quando o trojan é executado, conecta-se a um endereço URL onde é realizado o download de um arquivo de texto que substitui o arquivo original, forçando o usuário a cair em um serviço falso na próxima vez que tentar acessar a conta eletrônica.
Outra família de códigos maliciosos que modificam o comportamento dos aplicativos no sistema é a Win32/Spy.Banker. O código malicioso, no lugar de modificar o arquivo host, injeta um código de maneira dinâmica em determinadas páginas web; no momento em que o usuário faz o login, a informação é enviada para um email com os dados do usuário.
3. Trojans para disfarçar o download de outras ameaças
Uma das características dos trojans com maior quantidade de detecções (atualmente) é a realização da ação maliciosa de forma indireta, sendo utilizados apenas para baixar a ameaça que rouba credenciais bancárias ao equipamento da vítima, ou interceptar os dados das transações bancárias comerciais.
Uma das famílias que tem esse comportamento é a Win32/TrojanDownloader.Banload. Uma vez que um usuário é infectado, realiza o download de outros códigos maliciosos que tentam roubar as senhas de acesso aos sites bancários.
Esses tipos de ameaças simulam ser de diferentes tipos de arquivos como PDF ou fotos (mais comuns). Além disso, costumam ter dupla extensão e como muitas vezes a opção de ver as extensões dos arquivos vem desativada nos sistemas operacionais, costumam passar despercebidos – em geral SCR ou as menos comuns EXE.
4. Operações no tráfego das transações
O objetivo da família de ameaças anterior é preparar o terreno para que seja efetuado o roubo de informações do usuário, e assim conseguir os dados da vítima. Existem outros trojans que tem esta mesma característica, como por exemplo a família Win32/TrojanDownloader.Waski, utilizada para propagar outro trojan bancário detectado pela soluções da ESET como Win32/Battdil.
Esta família, também conhecida como Dyre, tem a particularidade de vulnerar SSL fazendo com que o usuário acredite que está em um site seguro e desviando todo o tráfego para servidores maliciosos afim de roubar a informação da transação.
5. Ameaças bancárias no Android e Windows de 64bits
Apesar de encontrarmos a maioria das ameaças que tentam comprometer as transações bancárias no Windows, aos poucos temos detectado um incremento na aparição de famílias focadas no Android, assim como nas últimas versões do Windows.
Por exemplo, a família Android/Spy.Banker busca roubar credenciais bancárias. Quando o usuário baixa este tipo de aplicativo malicioso, são solicitadas permissões de administrador e uma vez que sejam ativadas, o ícone do menu principal é eliminado e não é permitido que o usuário o desinstale.
Além disso, a próxima vez que tentar abrir o Google Play para realizar a busca de qualquer material interativo, a seguinte tela irá ao seu encontro, solicitando as credenciais de seu cartão de crédito.
Por outro lado, em 2011 foi criada a assinatura que detecta as variantes que afetam os sistemas operacionais de 64 bits. Apesar dos níveis de detecção da família Win64/Spy.Banker não poderem ser comparados com a quantidade de detecções em sistemas de 32 bits, é provável que, na medida em que se massifique o uso dos sistemas operativos de 64 bits, cresçam as detecções e, além disso, vejamos a aparição de novas famílias e variantes.
Bônus track: botnets com módulos para roubo de informações bancárias
Além de todas as ameaças anteriores, vale a pena mencionar às botnets como outra ameaça que pode comprometer a informação nas transações financeiras. Botnets como SpyEye e Zeus estão projetadas com módulos que permitem roubar informações bancárias.
Apesar deste tipo de código malicioso permitir aos atacantes realizarem uma grande quantidade de ações sobre o equipamento das vítimas, o roubo de dados sensíveis de transações financeiras é o que mais gera receita econômica.
Como podemos nos dar conta, um atacante possui diversas alternativas para comprometer a informação bancária de um usuário. Por isso, é imprescindível ter uma solução de segurança que alerte quando estamos diante desses tipos de ameaças.
E como sempre dizemos, a proteção deve ser complementada com boas práticas no momento de navegar pela Internet.
Autor: Camilo Gutiérrez Amaya, da ESET.
