As fraudes bancárias parecem ser sempre as armas prediletas dos cibercriminosos. A meta é bem simples: roubar dinheiro. A seguir, apresentamos a análise de algumas amostras de malware desenvolvidas para roubar dados bancários de instituições financeiras conhecidas no Brasil.

Os sistemas de Internet Banking no Brasil possuem diversos controles de segurança, o que não facilita o roubo de dados bancários. No Laboratório de Investigação da ESET América Latina recebemos recentemente dois cavalos de Troia detectados pela nossa solução antivírus como Win32/Spy.Bancos.ACD. As primeiras detecções da família Win32/Spy.Bancos aconteceram em 2004, e o objetivo das mesmas é roubar dados bancários, principalmente dados brasileiros. As variantes dessa família se diferenciam pelos protocolos que usam para enviar os dados roubados, por exemplo: FTP ou SMTP.

Quando o primeiro cavalo de Troia é executado, um navegador muito parecido com o Google Chrome aparece já na página de um banco bastante conhecido (ver imagem abaixo). O navegador é uma cópia falsa que simula a sua execução em tela cheia, e somente permite a interação de si mesmo com a página do banco em questão. Botões como o de “atualizar” não funcionam e, mesmo existindo a possibilidade de escrever na barra de endereços, não é possível acessar outros sites.

gaston 0404 2

O site do banco é real, o navegador que é falso. O malware monitora as ações da vítima, esperando que a mesma digite seus dados (número de agência e conta corrente). O passo seguinte consiste em verificar que o nome do titular da conta é o que aparece na tela e digitar a senha de oito dígitos. Nesse passo, o site permite que o cliente utilize um teclado virtual, e através do mesmo, o malware capta as posições do mouse (se a vítima optar por usar esse método).

Todos os dados inseridos pelo usuário são armazenados pelo malware, que automaticamente envia um arquivo compactado a um e-mail utilizando o Gmail. A outra amostra mencionada no princípio do texto é parecida, a diferença é a instituição em questão, como podemos ver na imagem abaixo.

gaston 0404 3

Ao analisar essa amostra, fica claro que um usuário desprotegido poder ser vítima de um roubo de dados bancários mesmo com um processo de autenticação complexo e com diversas etapas de validação de dados. Por essa razão, recomendamos a utilização de uma solução antivírus, e também observar que as ferramentas utilizadas para acessar o Internet Banking sejam utilizadas com precaução; caso as mesmas se diferenciem das habituais, é importante proceder com cautela.