PIX em risco: o malware que promete roubar transferências
Mais um problema para os brasileiros enfrentarem, a evolução de um malware coloca o PIX em risco roubando transferências de clientes.
Mais um problema para os brasileiros enfrentarem, a evolução de um conhecido malware coloca o PIX em risco roubando transferências realizadas no smartphone dos clientes infectados.
O já conhecido malware GoatRAT evoluiu para complicar a vida de quem tentar realizar uma transação via PIX.
Para quem nunca ouviu falar, o GoatRAT foi inicialmente desenvolvido para controlar remotamente dispositivos infectados.
Porém com o passar do tempo ele foi evoluindo e novas funcionalidades foram implementadas, dando mais poder ao atacante.
PIX em risco: como se proteger?
Esta nova evolução do malware passou a explorar o módulo AST (Sistema Automático de Transferência).
Com isso o malware passou a ter a capacidade de realizar transferências financeiras não-autorizadas em dispositivos infectados.
Assim o GoatRAT entra na família de malwares que tem a capacidade de, entre outras coisas, roubar transferências PIX de celulares com contas brasileiras.
Ao que tudo indica os desenvolvedores da funcionalidade que afeta o AST demonstraram ter profundo conhecimento do banco Nubank para infectar dispositivos.
Como é o malware é disponibilizado?
Ele é disponibilizado como arquivo apk20.apk, o download ocorre em uma página com domínio chamado nubankmodulo, fazendo clara referência ao Módulo Nubank.
O link é distribuido via ataque phishing, onde o usuário é induzido a clicar em um link falso onde o resultado é a instalação do malware.
O APK acaba por atuar como painel administrativo do GoatRAT.
Uma vez instalado o malware passa a interceptar transferências bancárias em geral, principalmente via PIX, mas não se restringindo somente ao PIX.
Quem é o alvo do malware?
Embora o desenvolvimento indique predileção pelo Nubank o malware pode, e deve, atuar para todos os bancos brasileiros.
Logo o objetivo é explorar todo o sistema bancários brasileiro, utilizando os apps que fazem uso do AST para realizar duas transações.
Como o malware funciona?
Em primeiro momento, o malware inicia uma seção chamada Servidor.
Em seguida estabelece o contato com o Comando & Controle (C&C) para alcançar a chave PIX usada no esquema.
Em seguida, o vírus pede a liberação dos serviços de Acessibilidade e permissão para overlay – considerando neste caso, overlay mirando Nubank, Banco Inter ou PagBank.
Para quem não sabe o que seria um overlay:
“Um overlay malicioso é quando um malware simula uma página ou mensagem falsa sobrepondo um aplicativo legítimo com o objetivo de roubar credenciais ou realizar outras ações fraudulentas.”
Desta forma fica simples para interceptar uma transação legítima e sobrepor essa transação desta forma roubando dinheiro dos usuários infectados.
Como se proteger?
A princípio não é necessário que o usuário deixe de utilizar transações PIX ou qualquer outro tipo de transação eletrônica.
Porém é preciso tomar alguns cuidados para preservar a segurança:
- Nunca clique em links enviados em promoções, e-mail ou SMS
- Nunca instale apps fora do Google Play, é até preferível que o smartphone fique com a opção de instalar APKs fora da loja desabilitada
- Sempre utilize recursos biométricos para desbloqueios
- Cheque se o Google Play Protect está ativo no aparelho
São cuidados básicos que irão impedir vários tipos de produtos.
