Imagine a cena: você abre o celular, tenta desbloqueá-lo e, de repente, a tela está toda preta. Parece tudo normal, então você repete o padrão de desbloqueio. A interface permanece a mesma, mas você não lembra de ter aberto o aplicativo bancário nos últimos segundos. E, nessa altura você vê o celular, sozinho, roubando todo o seu saldo. Parece um pesadelo, mas é pior — é verdade. Este é um Ataque da Mão Fantasma, uma nova categoria de malware de alto risco nascido no Brasil e já perturba vítimas internacionais.
Nomeado oficialmente de Ghost Hand Attack, a modalidade foi apresentada hoje, no Fórum Konferencia@Casa 2021 da Kaspersky, e ataca exclusivamente dispositivos móveis. O analista de segurança digital, Fábio Assolini, descreveu o golpe como “uma mão invisível, que usa o seu celular bem na sua frente”, e depende tanto de malwares quanto fraudes para operacionalizar.
Na prática, funciona assim: um trojan de acesso remoto (RAT) é instalado por email fraudulento que oferece uma atualização falsa de aplicativo, ou táticas de scareware — os famosos anúncios alarmistas de “seu Android está infectado”. E então, o programa abre acesso ao cibercriminoso, que pode utilizar o seu celular em tempo real.
Os RATs burlam todos os sistemas de autenticação de usuário, e dá prioridade do smartphone aos golpistas. Em todos os casos de Ghost Hand Attack, os malwares assumem privilégio administrativo do dispositivo. E removê-los não é fácil. Ao tentar desinstalar, os programas maliciosos fecham a tela automaticamente, ou ainda, ocultando-os da lista de apps instalados.
Ataque da Mão Fantasma é indetectável para instituições financeiras
Até o momento, apenas três famílias de RATs usadas em Ataques de Mão Fantasma foram detectadas pelas instituições: o grupo de trojans bancários Ghimob, BRata e TwMobo. Inicialmente atuando apenas no Brasil, hoje os três programas maliciosos já vitimaram pessoas e instituições na América Latina, Europa e nos Estados Unidos.
E por se tratar de operações diretamente do celular da vítima, é difícil para instituições financeiras detectarem que as transferências originam de fraudes. Os RATs não furam bloqueios de segurança ou de acesso pessoal diretamente do dispositivo infectado. Além disso, possuem acesso direto aos fatores de autenticação, como código SMS e email, podendo mudar as senhas para o que quiserem.
Via Olhardigital
