O malware bancário é uma das principais armas do arsenal dos criminosos virtuais. Instalar um programa malicioso no dispositivo da vítima permite roubar a credencial usada para acessar os serviços da instituição financeira e até realizar transferências e pagamentos de forma indevida a partir do próprio computador da vítima, dificultando o trabalho de monitoramento que bloqueia transferências suspeitas.
Os smartphones são muito mais resilientes contra malwares desse tipo. Ao contrário do que acontece no computador, um aplicativo instalado no celular não pode interferir em outros aplicativos, e não há acesso ao que o usuário está digitando. Se olharmos para essas restrições, o roubo de credenciais usadas em outros apps e a realização de transferências não deveria ser possível.
Infelizmente, essas medidas não impediram a atuação dos criminosos.
Uma permissão que abre exceções
No caso do Android, os criminosos identificaram uma maneira de contornar essas limitações: as permissões de "acessibilidade". Tecnologias assistivas, como leitores de tela e softwares que facilitam a realização de gestos de toque, precisam de permissões mais abrangentes e especiais.
Porém, poucos usuários compreendem as exceções que foram criadas para garantir o funcionamento de soluções inclusivas. Apostando nisso, os criminosos criam narrativas enganosas para convencer a vítima a instalar um malware e a conceder as permissões de acessibilidade.
Com a permissão de acessibilidade, o malware pode simular toques na tela, ler o conteúdo do aplicativo aberto e interagir com campos de formulário para capturar senhas. O truque é chamado de ghost hand ("mão fantasma"), já que é como se a mão do criminoso pudesse tocar diretamente na tela do aparelho.
A técnica ficou conhecida no Brasil devido ao malware PixStealer que, como o nome sugere, utiliza as permissões de acessibilidade para interagir com aplicativos financeiros e enviar um Pix automaticamente para uma conta controlada por criminosos. Quando foi descoberto, o malware chamou a atenção tanto pela agressividade como pela forma de distribuição, já que os criminosos conseguiram publicá-lo na loja Google Play.
Vários malwares, uma só abordagem
Desde a descoberta do PixStealer, a Axur vem acompanhando a evolução de diversas famílias de malware que se aproveitam da acessibilidade, como BrazKing, Sharkbot, GoatRAT, BrasDex e PixPirate. Por meio do nosso trabalho de engenharia reversa de malware e Cyber Threat Intelligence, temos acompanhado os novos recursos incluídos nesses malwares, como a presença de um servidor de comando e controle (C2).
Nem todas utilizam a acessibilidade apenas para simular toques – às vezes, o malware se limita a ler o conteúdo do aplicativo aberto para gerar sobreposições com telas falsas e facilitar o roubo de dados. Esse fluxo aumenta a versatilidade do malware, permitindo que ele roube credenciais de um número maior de serviços.
Outro detalhe é que, embora o malware seja capaz de simular toques, isso não significa que a vítima vai perceber isso acontecendo no aparelho.
Inclusive, o termo ghost touch ("toque fantasma") descreve também uma situação em que toques e gestos são provocados por um defeito ou falha do smartphone, criando interações equivocadas. Embora esse termo também possa descrever o ataque realizado pelo malware, a causa é diferente.
O ebook da Axur sobre a técnica Ghost Hand explica em detalhes o funcionamento das principais famílias de malware que se aproveitem dos recursos de acessibilidade e as medidas de segurança que vêm sendo adotadas pelo sistema Android para inibir novos ataques semelhantes.
Por que criminosos atacam o smartphone?
De acordo com a Pesquisa Febraban de Tecnologia Bancária 2023, 66% de todas as operações – transferências, pagamentos ou consultas de saldo – são realizadas a partir de dispositivos mobile.
Já os dados da Confederação Nacional de Dirigentes Lojistas (CDL) indicam que 87% dos brasileiros usam o smartphone para fazer compras pela internet.
É essencial que as empresas que interagem com o consumidor em canais digitais conheçam as fraudes realizadas nesse ambiente e tomem medidas para dificultar a realização de fraudes. Dessa forma, a marca evita perder a confiança do consumidor, o que pode diminuir as vendas e a utilização do aplicativo.
Criamos conteúdo relevante para tornar a internet um lugar mais seguro.