Uma campanha de malwares bancários extremamente bem-sucedida foi descoberta por pesquisadores depois que os criminosos cometeram erros crassos de proteção das próprias informações. O ataque, batizado pelos especialistas como Geost, teria atingido mais de 800 mil aparelhos desde, pelo menos, 2016, com foco na obtenção de informações bancárias de usuários na Rússia e leste da Europa.

A falta de criptografia nas comunicações entre o malware e os servidores controlados pelos hackers, bem como uma configuração mal feita de um serviço de comunicação utilizado por criminosos, permitiu que toda a operação passasse a ser monitorada. A descoberta foi feita por um time de pesquisadores da Universidade Tecnológica da República Checa, da Universidade Nacional de Cuyo, na Argentina, e da empresa de cibersegurança Avast. Os achados foram revelados nesta semana em uma conferência do setor em Londres, no Reino Unido.

De acordo com o relatório dos especialistas, o Geost se instalava nos celulares das vítimas a partir de aplicações maliciosas disponíveis na Google Play Store, que poderiam ir de jogos a utilitários. Em alguns casos, contas de desenvolvedores também eram invadidas para que aplicações reconhecidas pudessem ser manipuladas. Os softwares efetivamente funcionavam, mas também traziam o que era necessário para que os criminosos roubassem as informações bancárias dos clientes.

O principal caminho para isso era o monitoramento das mensagens de texto, já que muitos bancos da região, principalmente na Rússia, enviam códigos de ativação temporários em SMS simples para os clientes. Esse foi o caso de 90% dos comprometimentos, conforme alertaram os especialistas, sinalizando para um grave problema de segurança na forma como as instituições do leste da Europa lidam com as informações.

Hackers publicavam aplicativos maliciosos na Play Store ou hackeavam soluções legítimas para embutir pragas, mas falhas de segurança permitiram revelação do esquema

Em outros casos, telas sob o controle dos criminosos se sobrepunham a aplicativos legítimos dos bancos, e em uma terceira instância, popups poderiam ser exibidos de maneira aleatória, solicitando senhas e outras informações de login. Em todos os casos, o malware era adormecido depois que informações como e-mails, telefones, senhas e dados de localização eram obtidos, e os hackers passavam a ter controle completo sobre a conta bancária dos clientes. As vítimas só percebiam que havia algo de errado quando detectavam as movimentações suspeitas.

Os problemas que levaram à descoberta do esquema aconteciam na transmissão dessas informações aos servidores. Nos logs de conversas também obtidos pelos especialistas, alguns dos membros da quadrilha responsável pelos ataques demonstravam insatisfação com o método utilizado e, também, com a pouca segurança implementada na comunicação, com alguns até mesmo falando em deixar o grupo e sendo incentivado a permanecer pelos líderes.

Dois destes cabeças, inclusive, puderam ser identificados pelos especialistas a partir de nomes de usuários que também são utilizados por eles em outros serviços, em mais uma canelada de segurança. Os pesquisadores devem compartilhar as informações com as autoridades e também continuarão conduzindo suas próprias investigações de forma a levantar mais informações sobre a campanha.

Sabe-se, desde já, que ela teria sido incrivelmente bem-sucedida, mas o total roubado das vítimas não foi divulgado. Além disso, de acordo com os pesquisadores, o Geost ainda permanece ativo, com malwares disponíveis em uma grande quantidade de smartphones Android e aplicativos maliciosos disponíveis para que ainda mais infecções acontecem.

Para Anna Shirokova, da Avast, o caso serve como um alerta para autoridades e especialistas por desmistificar a ideia de que golpes desse tamanho são desenvolvidos por anos e utilizam ferramentas complexas e arrojadas. Normalmente, segundo ela, não é o caso, e como os criminosos estão em busca de ganhos financeiros rápidos, acabam usando as ferramentas que estão disponíveis no mercado, assumindo riscos em prol de uma carteira cheia.

Fonte: Avast