Roubo PIX: Polícia Civil prende criminoso que desenvolveu malware GoatRAT
22 de Fevereiro de 2024

A Polícia Civil de São Paulo deflagrou uma operação para capturar o desenvolvedor do malware GoatRAT na manhã desta quarta-feira (21).

Foram emitidos 11 mandados de busca e apreensão na Bahia, Paraná e São Paulo.

Realizada pela Delegacia de Polícia de Investigações sobre Furtos e Roubos a Bancos do DEIC, a operação conseguiu encontrar um homem de 18 anos, suspeito de ser o responsável pelo malware GoatRAT - que também seria o programador do site de vendas de cibercrimes MWCriminal.

O suspeito foi encontrado no Paraná.

Segundo as autoridades, o homem foi acusado de furto qualificado através de fraude.

Além disso, o malware em questão ainda pode estar ativo.

De acordo com as autoridades, o acusado utilizava um modus operandi que envolvia um falso banco central e a distribuição do malware através do Google Play Store.

Dentro do malware, foi possível encontrar um keylogger e um script CSV com contas PIX falsas para distribuir o dinheiro coletado após o roubo.

O malware GoatRAT, conhecido por atuar como uma ferramenta de acesso remoto malicioso, recentemente evoluiu para atuar com Sistema Automático de Transferência (ATS).

Isso significa que ele tem a capacidade de realizar transferências financeiras não autorizadas em dispositivos infectados.

Portanto, o GoatRAT juntou-se à família de malwares que têm a capacidade de, entre outras coisas, roubar transferências PIX de celulares com contas brasileiras.

Entre esses tipos de softwares, está o BrasDEX.

Um ATS é um aplicativo, uma estrutura, que facilita a automação dos processos de transferências em um dispositivo.

O modus operandi do malware é o seguinte: primeiramente, o malware inicia uma sessão chamada “Servidor”.

Ela serve para estabelecer contato com o Comando & Controle (C&C) para obter a chave PIX usada no esquema.

Logo depois, o vírus pede permissão para os serviços de Acessibilidade e permissão para o overlay - neste caso, um overlay voltado para Nubank, Banco Inter ou PagBank.

Um sistema de overlay malicioso é quando um malware simula uma página ou mensagem falsa sobrepondo um aplicativo legítimo para roubar credenciais ou realizar outras ações fraudulentas.

Então, o ATS é realizado por uma sequência de quatro passos.

Após identificações feitas pelo sistema, o overlay bancário e as autorizações de acessibilidade, o cibercriminoso ganha a habilidade de inserir a quantidade de dinheiro que ele deseja transferir via PIX dentro do aplicativo legítimo - e tudo isso sem alertar a vítima.

É importante observar que o GoatRAT é um malware pernicioso: ele começa a abrir, talvez, uma nova geração de trojans bancários no Brasil que contornam técnicas de segurança como 2FA - segundo fator de autenticação.

Ele não precisa roubar códigos que cheguem via SMS ou aplicativo de terceiros (por exemplo, Microsoft Authenticator) para acessar contas e realizar transações fraudulentas.

Ou seja, é como a primeira erva daninha.

Isso significa que você deve abandonar o segundo fator de autenticação e que tudo está perdido? Não, absolutamente não.

No caso do GoatRAT, você deve seguir outros passos, além destes:

Instalação de apps apenas via Google Play Store – evite permitir a instalação de APKs não oficiais.
Mantenha um programa antivírus ativo no dispositivo.

Sempre utilize recursos biométricos para desbloqueios.

Evite clicar em links de ofertas, promoções imperdíveis ou informações alarmantes que cheguem no seu email e SMS.

Verifique se o Google Play Protect está ativo no dispositivo.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...