Rouba PIX: Polícia Civil prende criminoso que desenvolveu malware GoatRAT

A Polícia Civil do Estado de São Paulo deflagrou uma operação para capturar o desenvolvedor do malware GoatRAT na manhã desta quarta-feira (21). Foram expedidos 11 mandados de busca e apreensão na Bahia (BA), Paraná (PR) e São Paulo (SP).

Realizada pela Delegacia de Polícia de Investigações sobre Furtos e Roubos a Bancos do DEIC, a operação teve sucesso ao encontrar um homem de 18 anos suspeito de ser o responsável pelo malware GoatRAT – que também seria o programador do site cibercriminoso de vendas MWCriminal.

O suspeito foi encontrado no Paraná

De acordo com as autoridades, o homem foi acusado de furto qualificado mediante fraude. Além disso, que o malware em questão ainda pode estar ativo.

goatRATGoatRAT

O que é o GoatRAT

Segundo as autoridades, o acusado utilizava um modus operandi que envolvia central bancária falsa e a distribuição do malware via Google Play Store.

Dentro do malware, foi possível encontrar keylogger e um script CSV com contas laranjas PIX para pulverizar o dinheiro recolhido após o roubo.

O malware GoatRAT, conhecido por atuar como uma ferramenta de acesso remoto maliciosa, evoluiu recentemente para atuar com Sistema Automático de Transferência (ATS). Isso significa que ele tem a capacidade de realizar transferências financeiras não-autorizadas em dispositivos infectados.

Dessa maneira, o GoatRAT entra na família de malwares que tem a capacidade de, entre outras coisas, roubar transferências PIX de celulares com contas brasileiras. Entre esses tipos de softwares, está o BrasDEX.

Um ATS é um aplicativo, um framework, que facilita a automatização de processos de transferências em um aparelho

O modus operandi do malware é o seguinte: primeiro, o malware inicia uma seção chamada “Servidor”. Ela serve para estabelecer o contato com o Comando & Controle (C&C) para alcançar a chave PIX usada no esquema. Logo em seguida, o vírus pede a liberação dos serviços de Acessibilidade e permissão para overlay – no caso, overlay mirando Nubank, Banco Inter ou PagBank.

Um sistema de overlay malicioso é quando um malware simula uma página ou mensagem falsa sobrepondo um aplicativo legítimo para roubar credenciais ou realizar outras ações fraudulentas.
Então, o ATS é realizado por uma sequência de quatro passos (que podem ser vistos em detalhes aqui). Após identificações realizadas pelo sistema, o overlay bancário e as liberações de acessibilidade, o cibercriminoso ganha a capacidade de incluir a quantidade de dinheiro que ele busca transferir via PIX dentro da aplicação legítima – e isso tudo sem alertar a vítima

É importante notar que o GoatRAT é um malware pernicioso: ele começa a abrir, talvez, uma nova geração de trojans bancários aqui no Brasil que burlam técnicas de segurança como 2FA – segundo fator de autenticação. Ele não precisa roubar códigos que cheguem via SMS ou app terceiro (Microsoft Authenticator, por exemplo) para acessar contas e realizar transações fraudulentas. Ou seja, é como a primeira erva-daninha.

Como se proteger

Isso significa que você deve abandonar o segundo fator de autenticação e que tudo está perdido? Não, absolutamente não. No caso do GoatRAT, você deve seguir outros passos – além desses:

  • Instalação de apps apenas via Google Play Store – evite liberar a instalação de APKs não oficiais
  • Programa antivírus ativo no aparelho
  • Sempre utilize recursos biométricos para desbloqueios
  • Evite o clique em links de ofertas, promoções imperdíveis ou informações alarmantes que cheguem no seu email e SMS
  • Cheque se o Google Play Protect está ativo no aparelho

Fonte

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *