Polícia Civil prende criador do "vírus do Pix".
15 de Maio de 2024

A Polícia Civil do Estado de São Paulo efetuou, na manhã de terça-feira (14), a prisão de um indivíduo suspeito de ser um dos desenvolvedores do malware GoatRAT, também denominado "vírus do Pix".

Esse software malicioso era comercializado em um portal de atividades ilícitas chamado CriminalFUN.

A operação envolveu a execução de dois mandados de busca e apreensão na cidade de Três Corações, em Minas Gerais (MG), sendo uma ação coordenada pela 4ª DCCIBER/DEIC, na segunda etapa da "Operação DEV DOWN".

Segundo informações oficiais, o objetivo da operação é desarticular um grupo criminoso responsável pela administração de um site dedicado à venda de serviços fraudulentos relacionados a instituições financeiras.

O "vírus do Pix", comercializado na plataforma CriminalFUN, era promovido como um FAAS (Fraud as a Service).

Em fevereiro, as forças policiais de São Paulo detiveram Eric da Silva Santos, apontado como operador do site CriminalFUN, sob o pseudônimo "SickoDevz".

Nesta terça-feira (14), outro suspeito de envolvimento, Ivan Wallace Pereira, foi interrogado e indiciado por invasão de dispositivos informáticos.

Com o avanço das investigações, foram confiscados diversos equipamentos eletrônicos, incluindo um monitor, um computador e dois smartphones.

O GoatRAT distingue-se por sua forma inusitada de distribuição, pois, ao contrário do método convencional de venda através de WhatsApp e Telegram, era oferecido no CriminalFUN como um FAAS.

Recentemente, o GoatRAT evoluiu, incorporando um Sistema Automático de Transferência (ATS), o que o capacita a efetuar transações financeiras não autorizadas em dispositivos comprometidos.

Dessa forma, o malware amplia a gama de ameaças digitais destinadas a expropriar transferências PIX de usuários brasileiros, a exemplo do BrasDEX.

Um ATS representa uma aplicação ou um framework projetado para automatizar processos bancários fraudulentos em um dispositivo.

O modus operandi do GoatRAT inicia com a ativação de um segmento chamado "Servidor", que estabelece comunicação com o sistema Comando & Controle (C&C) para obter a chave PIX necessária à fraude.

Em seguida, solicita permissões para utilizar serviços de Acessibilidade e para realizar overlay, especificamente visando aplicativos legítimos como Nubank, Banco Inter ou PagBank.

A emergência do GoatRAT sinaliza um possível início de uma nova era de trojans bancários no Brasil, capazes de contornar mecanismos de segurança, como a autenticação em dois fatores (2FA).

Apesar disso, não significa que devemos negligenciar o uso do 2FA.

Para proteger-se contra tais ameaças, recomenda-se sempre instalar aplicativos apenas via Google Play Store, manter ativo um software antivírus no dispositivo, optar por métodos biométricos de desbloqueio, evitar clicar em links suspeitos recebidos por e-mail ou SMS e certificar-se de que o Google Play Protect esteja habilitado no aparelho.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...