A Polícia Civil de São Paulo deflagrou uma operação para capturar o desenvolvedor do malware GoatRAT na manhã desta quarta-feira (21).
Foram emitidos 11 mandados de busca e apreensão na Bahia, Paraná e São Paulo.
Realizada pela Delegacia de Polícia de Investigações sobre Furtos e Roubos a Bancos do DEIC, a operação conseguiu encontrar um homem de 18 anos, suspeito de ser o responsável pelo malware GoatRAT - que também seria o programador do site de vendas de cibercrimes MWCriminal.
O suspeito foi encontrado no Paraná.
Segundo as autoridades, o homem foi acusado de furto qualificado através de fraude.
Além disso, o malware em questão ainda pode estar ativo.
De acordo com as autoridades, o acusado utilizava um modus operandi que envolvia um falso banco central e a distribuição do malware através do Google Play Store.
Dentro do malware, foi possível encontrar um keylogger e um script CSV com contas PIX falsas para distribuir o dinheiro coletado após o roubo.
O malware GoatRAT, conhecido por atuar como uma ferramenta de acesso remoto malicioso, recentemente evoluiu para atuar com Sistema Automático de Transferência (ATS).
Isso significa que ele tem a capacidade de realizar transferências financeiras não autorizadas em dispositivos infectados.
Portanto, o GoatRAT juntou-se à família de malwares que têm a capacidade de, entre outras coisas, roubar transferências PIX de celulares com contas brasileiras.
Entre esses tipos de softwares, está o BrasDEX.
Um ATS é um aplicativo, uma estrutura, que facilita a automação dos processos de transferências em um dispositivo.
O modus operandi do malware é o seguinte: primeiramente, o malware inicia uma sessão chamada “Servidor”.
Ela serve para estabelecer contato com o Comando & Controle (C&C) para obter a chave PIX usada no esquema.
Logo depois, o vírus pede permissão para os serviços de Acessibilidade e permissão para o overlay - neste caso, um overlay voltado para Nubank, Banco Inter ou PagBank.
Um sistema de overlay malicioso é quando um malware simula uma página ou mensagem falsa sobrepondo um aplicativo legítimo para roubar credenciais ou realizar outras ações fraudulentas.
Então, o ATS é realizado por uma sequência de quatro passos.
Após identificações feitas pelo sistema, o overlay bancário e as autorizações de acessibilidade, o cibercriminoso ganha a habilidade de inserir a quantidade de dinheiro que ele deseja transferir via PIX dentro do aplicativo legítimo - e tudo isso sem alertar a vítima.
É importante observar que o GoatRAT é um malware pernicioso: ele começa a abrir, talvez, uma nova geração de trojans bancários no Brasil que contornam técnicas de segurança como 2FA - segundo fator de autenticação.
Ele não precisa roubar códigos que cheguem via SMS ou aplicativo de terceiros (por exemplo, Microsoft Authenticator) para acessar contas e realizar transações fraudulentas.
Ou seja, é como a primeira erva daninha.
Isso significa que você deve abandonar o segundo fator de autenticação e que tudo está perdido? Não, absolutamente não.
No caso do GoatRAT, você deve seguir outros passos, além destes:
Instalação de apps apenas via Google Play Store – evite permitir a instalação de APKs não oficiais.
Mantenha um programa antivírus ativo no dispositivo.
Sempre utilize recursos biométricos para desbloqueios.
Evite clicar em links de ofertas, promoções imperdíveis ou informações alarmantes que cheguem no seu email e SMS.
Verifique se o Google Play Protect está ativo no dispositivo.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...