Tipo exportação: hackers brasileiros vendem pragas bancárias para vizinhos

O Brasil começou a implementar tudo de internet banking de forma muito rápida, e antes que quase toda a região. Os criminosos, então, pensaram: bom, então vamos explorar isso, Camilo Gutiérrez, chefe do Laboratório de Pesquisa da Eset América Latina

A especialidade do hacker brasileiro é o trojan bancário. Como o nome sugere, trojan faz alusão ao cavalo de troia, cavalo de madeira que, segundo a mitologia, foi usado de forma furtiva para enganar os troianos como um "presente"; dentro dele, havia vários soldados que combateram contra a população local.

As instituições financeiras do Brasil são as mais avançadas no mundo em cibersegurança. Com isso, bancos do exterior nem sempre estão preparados para enfrentar os ataques criados aqui Fabio Assolini

Um exemplo de medida de bancos brasileiros que não tem em alguns estrangeiros é o token - uma sequência numérica, que fica na posse do dono da conta, que busca atestar que é o titular quem está realizando a operação. Outra é a dupla identificação. Além da senha, algumas instituições exigem um código adicional, gerada via aplicativo ou enviado por SMS, ou outro meio.

Assolini diz que os bancos locais foram pioneiros no uso da tecnologia, e isso influencia diretamente em como os cibercriminosos que "estão melhorando suas técnicas há 24 anos".

Os bancos foram early adopters de tecnologia. Então, basicamente temos criminosos atuando há quase 24 anos melhorando as técnicas Fabio Assolini, da Kaspersky

No mundo virtual, o trojan bancário é um software que ajuda a roubar informações pessoais ou credenciais bancárias (como senhas e dados do cartão) de uma vítima. Ele, geralmente, chega disfarçado em uma mensagem com um link ou arquivo. Ao abrir, a pessoa é infectada com um vírus que captura as teclas pressionadas, por exemplo, ou acaba acessando uma interface muito parecida com a do banco. Quando acha que está fazendo login, na verdade, está tendo seus dados roubados.

Como sabem que trojans de outros países são Made in Brazil

Especialistas consultados por Tilt ainda não conseguiram, por exemplo, precisar os valores envolvidos em operações de hackers brasileiros vendendo trojans. No entanto, a certeza dessa "exportação" de pragas vem de detalhes vistos na análise de código e também no tipo de ameaça feita pelos criminosos locais.

O primeiro é como ele é desenvolvido. Na maioria das vezes é feito em Delphi, uma linguagem de programação antiga e que roda em computadores Windows - algumas mais atuais são feitas em .NET.

Outra é a forma de escrever o código. "A gente começa a analisar o código de pragas de outros países, e vemos erros de português, além de nomes de classes em português brasileiro - o que não justificaria alguém de outro país usar sem motivo. Estou analisando um trojan que está circulando na Austrália, e tinha comandos em português. Muitas vezes, você vai checar os nomes dos bancos que o cavalo de troia ataca e vê menções a instituições brasileiras", explica Assolini.

Muitas vezes os cibercriminosos fazem o que especialistas chamam de malware como serviço. Eles vendem uma solução pronta e as adapta conforme a necessidade da freguesia - podendo envolver hospedagem e "aluguel' da solução.

Por fim, explica, houve uma mudança global nas ameaças. Segundo Assolini, hackers do leste europeu não fazem mais malware bancário. "Esse pessoal migrou para ransomware [quando sequestram um computador ou uma rede e exigem dinheiro para 'libertá-lo'] e ficou um vácuo no mercado. No trojan, é um roubo por vez, enquanto no 'sequestro' você ganha muito de uma vez só".

A Eset diz, por exemplo, que o trojan bancário de maior incidência no Brasil em 2024, segundo medições próprias, é o Guildma, representando 74% das ameaças desse tipo no país. Porém, ele apareceu também no Paraguai, Colômbia, Itália e México.

Esse trojan, que chega por e-mail, permite que comandos sejam executados remotamente, além de fazer capturas de tela e roubar credenciais (login e senhas) para acessar contas via internet banking. Mesmo assim, neste ano, o Brasil é 2º em detecções de trojans bancários. A liderança é do México.

Ainda que boa parte das ameaças ocorra por computador, trojans bancários brasileiros, como o TwMobo, abusam do acesso remoto. Após infectado, um atacante consegue controlar remotamente um telefone — essa infecção costuma ser comum no "golpe da mão fantasma", quando um atacante consegue acessar o aparelho, enquanto a vítima apenas "assiste" ao que é feito. Segundo a Kaspersky, essa ameaça começou no Brasil e depois foi para os países da América Latina, Europa e Estados Unidos.