Novo vírus intercepta transferências via Pix e altera valor e destinatário; veja vídeo de como funciona

Um novo malware (um tipo de vírus), que se instala em celulares Android, tem atacado clientes dos principais bancos brasileiros, como Bradesco, Caixa, Itaú e Nubank — e até a corretora de criptoativos Binance. Ele intercepta transferências via Pix feitas pelos aplicativos das instituições financeiras e altera quem vai receber o dinheiro e até o valor enviado.

BrasDex foi descoberto pela empresa de cibersegurança Threat Fabric em dezembro, quando já havia atacado mais de mil pessoas, gerando prejuízos de centenas de milhares de reais (o valor exato não foi revelado). O malware não explora nenhuma falha do Pix ou dos aplicativos das empresas em si, mas sim erros do próprio usuário — que autoriza a instalação do vírus voluntariamente e dá total acesso ao aparelho —, além de brechas de segurança do sistema operacional Android.

Em um vídeo que viralizou nas redes sociais, um cliente do Nubank mostra a tentativa de golpe em tempo real: ele filma a tela do celular da irmã, enquanto ela vai fazer um Pix de R$ 1 para a mãe pelo aplicativo do banco. O pedido de senha — necessário para concluir a transferência — demora mais que o normal, e quem grava o vídeo mostra alterações na tela do celular e diz que o aparelho treme.

Isso acontece porque, por trás da tela, o BrasDex está mudando o valor da transação e o destinatário. Se a pessoa digitasse a senha, ela teria transferido mais de R$ 600 (quase todo o saldo disponível na conta) para uma pessoa desconhecida, concretizando o golpe (veja no vídeo abaixo).

Falhas do usuário

O BrasDex explora duas falhas do usuário, afirma Guariento. Bispo, da Accenture, também destaca problemas de segurança do sistema operacional Android, que é da Alphabet — dona do Google (GOGL34). Não há relatos, até o momento, do vírus no sistema iOS, da Apple (AAPL34).

“São duas falhas do usuário: baixar um aplicativo fora da loja e dar consentimento total e acesso irrestrito ao celular”, afirma Fernando Guariento, da AllowMe. “A infecção acontece porque a pessoa baixou algum aplicativo que não estava na app store. Ela pode ter baixado por um link no WhatsApp, por um SMS ou um link mesmo, que ela clicou”.

Guariento diz que muitas vezes as pessoas caem em golpes e baixam o aplicativo acreditando que vão ter um ganho financeiro (um exemplo são aquelas mensagens enviadas por SMS ou no WhatsApp que prometem muito dinheiro trabalhando pouco, sem sair de casa). “É sempre um discurso de ganho rápido e fácil”.

Leia também:  Brasil institui pela primeira vez o feriado nacional do Dia da Consciência Negra

O especialista diz que, além de a vítima baixar o aplicativo infectado (que vai instalar o BrasDex no celular), ela também dá autorização para o malware fazer absolutamente tudo no aparelho. Apesar disso, o vírus fica “adormecido”, esperando uma transação, porque o seu único propósito é desviar as transferências. Ele então precisa de mais uma “cooperação” da vítima: ela acessar o app do banco com a biometria e confirmar a transação com a senha, por exemplo.

“Os celulares têm proteções que mesmo o consentimento total não dão acesso, Mesmo com o consentimento total do usuário, por exemplo, eu não consigo acessar a área reservada do celular onde fica a biometria. É um cofre virtual onde as informações estão guardadas. Nem o banco consegue acessar isso”, afirma Guariento, sobre a necessidade de o golpe precisar da “ajuda” do usuário. “A senha do banco também fica em uma área restrita”.

Sobre o aplicativo pedir acesso irrestrito ao aparelho, o especialista da AllowMe faz uma analogia com a vida real. “Ele pede acesso completo ao celular. É como se uma pessoa batesse na porta da sua casa e pedisse pra entrar, pegar sua chave e pegar as suas senhas do banco, argumentando que ‘só precisa disso para você ganhar dinheiro fácil’. Muitas vezes a pessoa não para para pensar no que está fazendo”.

Por que o Pix?

Segundo os especialistas, o vírus explora o Pix pela sua velocidade de transação e porque não é possível desfazer uma transferência. Além disso, até a vítima perceber que caiu em um golpe e avisar o banco — e a instituição tentar recuperar o dinheiro —, o valor já vai ter sido transferido da conta “laranja” para outras contas, praticamente inviabilizando o seu rastreio.

O diretor de resiliência cibernética para a América Latina da Accenture diz que é por isso que a primeira coisa que o BrasDex faz é checar o cartão SIM do celular, para saber se ele é do Brasil. “Se não for do Brasil, para de funcionar. Se for brasileiro, ele procura os aplicativos dos maiores bancos e começa a explorar vulnerabilidades de privilegio de acessibilidade”.

Leia também:  Novo golpe de extorsão com ameaças e dados pessoais preocupa a população em Bento Gonçalves e região

Segundo a Threat Fabric, o “BrasDex é uma família de malware estritamente focada no mercado brasileiro” e “contém verificações para garantir que ele só opera em dispositivos do Brasil”. “Essa dedicação total e árdua a um único mercado pode ser motivada pelo fato de o BrasDex usar seus recursos para abusar de um subconjunto específico de transações dentro do ecossistema bancário brasileiro. A BrasDex abusa especificamente do sistema de pagamento Pix”.

A empresa de cibersegurança ressalta que o sistema de pagamentos instantâneos do Banco Central brasileiro não é vulnerável. “Os atacantes não estão explorando nenhuma vulnerabilidade do sistema Pix, mas sim abusando do sistema de pagamentos rápidos e problemas conhecidos do Android para fazer transferências fraudulentas”.

“O surgimento de sistemas de pagamento convenientes não apenas torna os pagamentos mais fáceis para os clientes, mas também abre uma oportunidade para os cibercriminosos usá-los para operações fraudulentas”, afirma a Threat Fabric. O caso da BrasDex mostra a necessidade de mecanismos de detecção e prevenção de fraudes nos dispositivos dos clientes”.

Guariento, da AllowMe, diz que outro fator é o tempo que as instituições financeiras têm para checar as informações antes de confirmar uma transação via Pix. “É o celular da pessoa, o consentimento da pessoa, a localização habitual da pessoa… Tudo que ela geralmente faz antes de uma transação. É muito difícil para o banco para identificar esse tipo de fraude”, diz o especialista.

“Uma TED ou DOC poderia parar em uma mesa de análise de prevenção à fraude. No caso do Pix não dá, porque a transação tem de ser rápida por regulamentação. Tem uma chance menor de a transação ser barrada”, afirma Guariente.

Leia também:  Pix: entenda como ficam as transferências acima de R$ 200 com novas regras

Dicas de segurança

A instalação de malwares, em geral, se dá a partir de e-mails, mensagens de WhatsApp, sites não confiáveis (que requerem a instalação de um aplicativo) ou até SMS de phishing, que visam convencer o usuário da necessidade de atualização de determinado programa ou mesmo do preenchimento de algum formulário.

“Toda mensagem com links deve ser encarada com desconfiança pelo usuário. É preciso que ele se certifique de que a origem é um canal oficial de comunicação da empresa”, afirma Guariento. Se a pessoa caiu em algum golpe ou foi vítima de alguma fraude, é preciso acionar imediatamente a instituição financeira.

Bispo da Accenture, dá algumas dicas básicas:

  1. Primeiro: seu aparelho precisa ter uma senha forte
  2. Segundo: qualquer aplicativo que tenha um segundo fator de autenticação (como biometria), ative essa camada extra de proteção. É um bloqueio a mais contra o atacante.
  3. Terceiro: fuja desse negocio de dar “next next finish” (uma referência ao hábito das pessoas de darem consentimento a tudo sem ler o que está fazendo).
  4. Quarto: pare com essa mania de baixar tudo que é aplicativo no celular, como aqueles apps de ficar mais velho. Depois você esquece de apagar e ele fica por dois anos no celular, pegando seus dados.

O diretor de resiliência cibernética para a América Latina da Accenture dá um exemplo pessoal. “Troquei de celular na semana passada e tenho o aplicativo de quatro bancos no celular. Um pediu para tirar duas fotos (uma mais perto e outra mais longe): outro pediu para eu baixar o token, um terceiro pediu senha e outro pediu para eu ir na agência e desbloquear o app”.

“Qual você acha que é o mais seguro? Obviamente o que pediu para eu ir até a agência. Segurança sempre esbarra na questão da ‘usabilidade’, mas você ganha em segurança”, afirma Bispo. “A praticidade e facilidade dos aplicativos, junto com uma cultura muito baixa de segurança do brasileiro, é um prato cheio para os atacantes”.

Informações Infomoney

Receba as notícias da Studio via WhatsApp

Receba as notícias da Studio via Telegram

A Rádio Studio não se responsabiliza pelo uso indevido dos comentários para quaisquer que sejam os fins, feito por qualquer usuário, sendo de inteira responsabilidade desse as eventuais lesões a direito próprio ou de terceiros, causadas ou não por este uso inadequado.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Botão Voltar ao topo