Malware não explora nenhuma falha do Pix ou dos aplicativos dos bancos, mas sim do próprio usuário; veja como se proteger
Um novo malware (um tipo de vírus), que se instala em celulares Android, tem atacado clientes dos principais bancos brasileiros, como Bradesco, Caixa, Itaú e Nubank — e até a corretora de criptoativos Binance. Ele intercepta transferências via Pix feitas pelos aplicativos das instituições financeiras e altera quem vai receber o dinheiro e até o valor enviado.
O BrasDex foi descoberto pela empresa de cibersegurança Threat Fabric em dezembro, quando já havia atacado mais de mil pessoas, gerando prejuízos de centenas de milhares de reais (o valor exato não foi revelado). O malware não explora nenhuma falha do Pix ou dos aplicativos das empresas em si, mas sim erros do próprio usuário — que autoriza a instalação do vírus voluntariamente e dá total acesso ao aparelho —, além de brechas de segurança do sistema operacional Android.
Em um vídeo que viralizou nas redes sociais, um cliente do Nubank mostra a tentativa de golpe em tempo real: ele filma a tela do celular da irmã, enquanto ela vai fazer um Pix de R$ 1 para a mãe pelo aplicativo do banco. O pedido de senha — necessário para concluir a transferência — demora mais que o normal, e quem grava o vídeo mostra alterações na tela do celular e diz que o aparelho treme.
Isso acontece porque, por trás da tela, o BrasDex está mudando o valor da transação e o destinatário. Se a pessoa digitasse a senha, ela teria transferido mais de R$ 600 (quase todo o saldo disponível na conta) para uma pessoa desconhecida, concretizando o golpe (veja no vídeo abaixo).
Bancos alvo do BrasDex
“Os bancos não são culpados, os bancos são vitimas”, afirma Marcus Bispo, diretor de resiliência cibernética para a América Latina da Accenture. “O BrasDex é focado em instituições financeiras brasileiras. Ele checa o cartão SIM do celular e, se não for do Brasil, para de funcionar. Se for brasileiro, ele procura os aplicativos dos maiores bancos e começa a explorar vulnerabilidades de privilegio de acessibilidade”.
Bispo explica que o malware fica “adormecido” no celular infectado, esperando a vítima abrir o aplicativo de algum banco. Quando isso ocorre, automaticamente o BrasDex lê as informações do app, como saldo e número da conta, e aguarda por uma transferência. Se a pessoa for fazer um Pix, o vírus entra em ação e coloca uma tela por cima do app do banco, muito parecida com a verdadeira, enquanto altera os dados da transação. Se a pessoa digitar a sua senha para concluir o Pix, o dinheiro irá direto para o golpista.
O vídeo que viralizou nas redes sociais é de um cliente do Nubank, e no anúncio da descoberta do vírus a Threat Fabric usa imagens do aplicativo do Bradesco, mas a falha não está nas instituições financeiras, mas sim na conduta do usuário. O malware, na verdade, abusa de permissões concedidas pelo usuário após a instalação de apps maliciosos (veja mais abaixo).
Segundo a empresa de cibersegurança, o malware (que significa “malicious software”, ou software malicioso em tradução livre) pode interceptar transferências dos seguintes bancos:
- Banco do Brasil (BBAS3)
- Banco Original
- Binance
- Bradesco (BBDC4)
- Caixa Econômica Federal
- Inter (INBR32)
- Itaú (ITUB4)
- Nubank (NUBR33)
- PicPay (JHSF3)
- Santander Brasil (SANB11)
O InfoMoney procurou a maioria das instituições acima. O Bradesco e o Santander não responderam aos questionamentos enviados, e o Nubank apenas mandou um link do seu blog, com informações genéricas sobre como funcionam malwares (não há qualquer menção ao BrasDex, por exemplo).
Banco do Brasil, Caixa, Inter e Itaú enviaram respostas em que descrevem o que estão fazendo para combater fraudes contra clientes e destacam a importância de o usuário não cair em golpes. O BB foi o único que citou nominalmente o vírus, mas afirmou que “até o momento não temos registros de problemas com clientes causados pelo malware BrasDex” (veja todas as respostas ao final da reportagem).
“Olhando sob o ponto de vista de prevenção à fraude, a pessoa [que fez o Pix] estava em uma geolocalização conhecida. Ela reconheceu a transação e colocou a senha. Tudo o que o banco poderia observar, do ponto de vista do usuário, ele fez”, afirma Fernando Guariento, líder de professional services da AllowMe (startup que é uma plataforma de prevenção à fraude), sobre o papel das instituições em tentar combater o golpe.
Falhas do usuário
O BrasDex explora duas falhas do usuário, afirma Guariento. Bispo, da Accenture, também destaca problemas de segurança do sistema operacional Android, que é da Alphabet — dona do Google (GOGL34). Não há relatos, até o momento, do vírus no sistema iOS, da Apple (AAPL34).
“São duas falhas do usuário: baixar um aplicativo fora da loja e dar consentimento total e acesso irrestrito ao celular”, afirma Fernando Guariento, da AllowMe. “A infecção acontece porque a pessoa baixou algum aplicativo que não estava na app store. Ela pode ter baixado por um link no WhatsApp, por um SMS ou um link mesmo, que ela clicou”.
Guariento diz que muitas vezes as pessoas caem em golpes e baixam o aplicativo acreditando que vão ter um ganho financeiro (um exemplo são aquelas mensagens enviadas por SMS ou no WhatsApp que prometem muito dinheiro trabalhando pouco, sem sair de casa). “É sempre um discurso de ganho rápido e fácil”.
O especialista diz que, além de a vítima baixar o aplicativo infectado (que vai instalar o BrasDex no celular), ela também dá autorização para o malware fazer absolutamente tudo no aparelho. Apesar disso, o vírus fica “adormecido”, esperando uma transação, porque o seu único propósito é desviar as transferências. Ele então precisa de mais uma “cooperação” da vítima: ela acessar o app do banco com a biometria e confirmar a transação com a senha, por exemplo.
“Os celulares têm proteções que mesmo o consentimento total não dão acesso, Mesmo com o consentimento total do usuário, por exemplo, eu não consigo acessar a área reservada do celular onde fica a biometria. É um cofre virtual onde as informações estão guardadas. Nem o banco consegue acessar isso”, afirma Guariento, sobre a necessidade de o golpe precisar da “ajuda” do usuário. “A senha do banco também fica em uma área restrita”.
Sobre o aplicativo pedir acesso irrestrito ao aparelho, o especialista da AllowMe faz uma analogia com a vida real. “Ele pede acesso completo ao celular. É como se uma pessoa batesse na porta da sua casa e pedisse pra entrar, pegar sua chave e pegar as suas senhas do banco, argumentando que ‘só precisa disso para você ganhar dinheiro fácil’. Muitas vezes a pessoa não para para pensar no que está fazendo”.
Por que o Pix?
Segundo os especialistas, o vírus explora o Pix pela sua velocidade de transação e porque não é possível desfazer uma transferência. Além disso, até a vítima perceber que caiu em um golpe e avisar o banco — e a instituição tentar recuperar o dinheiro —, o valor já vai ter sido transferido da conta “laranja” para outras contas, praticamente inviabilizando o seu rastreio.
O diretor de resiliência cibernética para a América Latina da Accenture diz que é por isso que a primeira coisa que o BrasDex faz é checar o cartão SIM do celular, para saber se ele é do Brasil. “Se não for do Brasil, para de funcionar. Se for brasileiro, ele procura os aplicativos dos maiores bancos e começa a explorar vulnerabilidades de privilegio de acessibilidade”.
Segundo a Threat Fabric, o “BrasDex é uma família de malware estritamente focada no mercado brasileiro” e “contém verificações para garantir que ele só opera em dispositivos do Brasil”. “Essa dedicação total e árdua a um único mercado pode ser motivada pelo fato de o BrasDex usar seus recursos para abusar de um subconjunto específico de transações dentro do ecossistema bancário brasileiro. A BrasDex abusa especificamente do sistema de pagamento Pix”.
A empresa de cibersegurança ressalta que o sistema de pagamentos instantâneos do Banco Central brasileiro não é vulnerável. “Os atacantes não estão explorando nenhuma vulnerabilidade do sistema Pix, mas sim abusando do sistema de pagamentos rápidos e problemas conhecidos do Android para fazer transferências fraudulentas”.
“O surgimento de sistemas de pagamento convenientes não apenas torna os pagamentos mais fáceis para os clientes, mas também abre uma oportunidade para os cibercriminosos usá-los para operações fraudulentas”, afirma a Threat Fabric. O caso da BrasDex mostra a necessidade de mecanismos de detecção e prevenção de fraudes nos dispositivos dos clientes”.
Guariento, da AllowMe, diz que outro fator é o tempo que as instituições financeiras têm para checar as informações antes de confirmar uma transação via Pix. “É o celular da pessoa, o consentimento da pessoa, a localização habitual da pessoa… Tudo que ela geralmente faz antes de uma transação. É muito difícil para o banco para identificar esse tipo de fraude”, diz o especialista.
“Uma TED ou DOC poderia parar em uma mesa de análise de prevenção à fraude. No caso do Pix não dá, porque a transação tem de ser rápida por regulamentação. Tem uma chance menor de a transação ser barrada”, afirma Guariente.
Dicas de segurança
• Seu segundo salário com dividendos: Inscreva-se na Aula Magna gratuita com Thiago Nigro
A instalação de malwares, em geral, se dá a partir de e-mails, mensagens de WhatsApp, sites não confiáveis (que requerem a instalação de um aplicativo) ou até SMS de phishing, que visam convencer o usuário da necessidade de atualização de determinado programa ou mesmo do preenchimento de algum formulário.
“Toda mensagem com links deve ser encarada com desconfiança pelo usuário. É preciso que ele se certifique de que a origem é um canal oficial de comunicação da empresa”, afirma Guariento. Se a pessoa caiu em algum golpe ou foi vítima de alguma fraude, é preciso acionar imediatamente a instituição financeira.
Bispo da Accenture, dá algumas dicas básicas:
- Primeiro: seu aparelho precisa ter uma senha forte
- Segundo: qualquer aplicativo que tenha um segundo fator de autenticação (como biometria), ative essa camada extra de proteção. É um bloqueio a mais contra o atacante.
- Terceiro: fuja desse negocio de dar “next next finish” (uma referência ao hábito das pessoas de darem consentimento a tudo sem ler o que está fazendo).
- Quarto: pare com essa mania de baixar tudo que é aplicativo no celular, como aqueles apps de ficar mais velho. Depois você esquece de apagar e ele fica por dois anos no celular, pegando seus dados.
O diretor de resiliência cibernética para a América Latina da Accenture dá um exemplo pessoal. “Troquei de celular na semana passada e tenho o aplicativo de quatro bancos no celular. Um pediu para tirar duas fotos (uma mais perto e outra mais longe): outro pediu para eu baixar o token, um terceiro pediu senha e outro pediu para eu ir na agência e desbloquear o app”.
“Qual você acha que é o mais seguro? Obviamente o que pediu para eu ir até a agência. Segurança sempre esbarra na questão da ‘usabilidade’, mas você ganha em segurança”, afirma Bispo. “A praticidade e facilidade dos aplicativos, junto com uma cultura muito baixa de segurança do brasileiro, é um prato cheio para os atacantes”.
O que dizem os bancos
Banco do Brasil
“Até o momento não temos registros de problemas com clientes causados pelo malware BrasDex.
O Banco do Brasil mantém política permanente de alerta e orientação aos seus clientes sobre os cuidados com a segurança digital – em complemente ao trabalho realizado pela Federação Brasileira dos Bancos, que representa o sistema financeiro.
O Guia de Segurança do BB, disponível no site do bb.com.br/seguranca, traz dicas importantes para prevenção a golpes. O WhatsApp do BB também oferece orientações sobre dicas de segurança, soluções de segurança do BB e golpes mais comuns, quando o cliente digita #segurança.
Semanalmente, o BB publica orientações sobre segurança digital e prevenção a fraudes nas redes sociais. No Blog BB há uma editoria específica sobre segurança digital com dicas importantes para o dia dia e sobre os principais golpes financeiros do momento.
Reforçamos ainda:
- O BB sempre orienta seus clientes sobre os cuidados com segurança digital.
- O Banco não solicita a instalação de aplicativos para acesso remoto. A forma oficial de baixar o App BB é realizada pela loja de aplicativos do seu celular.
- Nunca instale apps desconhecidos.
- Desconfie de mensagens que falem sobre benefícios exagerados ou com senso de urgência.
- Não cadastre a mesma senha usada no banco em outros serviços.
- O BB não entra em contato por telefone para solicitar a liberação de dispositivos ou solicitar comandos de cancelamento e nem te orienta a ir até um Terminal de Autoatendimento para realizar qualquer tipo de transação”
Caixa Econômica Federal
“A CAIXA informa que atua em colaboração com os órgãos de segurança pública competentes, com o objetivo de coibir eventuais ocorrências de fraude.
O banco aperfeiçoa continuamente os critérios de segurança de acesso aos seus aplicativos e movimentações financeiras, acompanhando as práticas de mercado e as evoluções necessárias ao observar a maneira de operar de fraudadores e golpistas.
Neste sentido, o Internet Banking CAIXA conta com módulo de segurança que dispõe de mecanismos capazes de identificar a existência de vírus, malwares e comportamentos suspeitos nos dispositivos dos clientes, bloqueando imediatamente o acesso à aplicação.
A CAIXA emprega, ainda, mecanismos múltiplos de proteção e monitoramento para aprimorar a segurança de seus sistemas e mitigar a ação de fraudadores, tais como:
- validação de dados;
- autenticação por biometria e/ou senha;
- validação de documentos;
- segundo fator de autenticação.
Para segurança e proteção de seus clientes, o banco recomenda os cuidados listados abaixo para evitar os malwares:
- Evite clicar em links de fontes desconhecidas;
- Não instale aplicações que não estejam nas lojas de aplicativos oficiais (Play Store ou Apple Store);
- Mantenha a opção de “Instalação de aplicações de fontes desconhecidas” desativada;
- Observe o comportamento da aplicação durante o uso e desconfie de alterações no fluxo de transações;
- Só entre em contato com a instituição bancária através dos canais oficiais;
- Nunca salve senhas abertas em seu dispositivo;
- Mantenha software de antivírus instalado e sempre atualizado;
- Desconfie de contatos recebidos em nome do banco. Na dúvida, ignore e busque informações através dos canais oficiais da instituição.
O banco orienta que os cidadãos utilizem única e exclusivamente seus canais oficiais para buscar informações e acesso aos serviços, jamais compartilhando dados pessoais, usuário de login e senha. Senhas e cartões são pessoais e intransferíveis.
O cliente que identificar saque e movimentação não reconhecida em sua conta pode ser formalizar pedido de contestação diretamente em qualquer agência da CAIXA.
Para os casos em que houver comprovação de saque fraudulento, o cliente será ressarcido.
Em caso de dúvidas, os clientes têm à disposição os canais de atendimento: SAC/Ouvidoria (0800 726 0101), WhatsApp (0800 104 0104) ou qualquer uma das agências da CAIXA (www.caixa.gov.br/atendimento).
Mais orientações de segurança estão disponíveis em: www.caixa.gov.br/seguranca“
Inter
“O Inter possui diversas medidas de segurança embarcadas dentro de seu aplicativo para garantir a integridade da conta digital e, frequentemente, realiza campanhas para sensibilizar seus clientes com dicas para manter sua conta sempre protegida e aumentar a segurança.
No caso dos golpes realizados por meio de software malicioso, as dicas de segurança são:
- Nunca baixar aplicativos que não estão nas lojas oficiais, como Apple Store e Play Store;
- Estar atento às configurações de permissão dos aplicativos: Localização, acessibilidade, fotos, etc;
- Sempre confirmar o nome do destinatário e valor antes de fazer qualquer transação financeira por meio do aplicativo, especialmente quando o aparelho demorar muito para completar;
- Ter antivírus instalado no celular;
- Em último caso, sempre que identificado que há um software malicioso no aparelho, formatar o celular.
O Inter reforça que está à disposição 24 horas por dia, sete dias por semana, nos canais de atendimento para esclarecimentos adicionais e suporte técnico. Para mais informações, acesse: https://www.bancointer.com.br/canais-de-atendimento/”
Itaú
“O Itaú Unibanco tem a segurança como uma de suas prioridades e investe continuamente em tecnologias para o fortalecimento de sistemas e aplicativos, além de seguir as diretrizes dos órgãos reguladores para a proteção dos seus clientes. O App Itaú utiliza controles de segurança que envolvem, entre outros recursos, criptografias, senhas, reconhecimentos biométricos, faciais e token, além de camadas internas de segurança com tecnologias de ponta. Assim, o banco orienta aos clientes que mantenham o App Itaú sempre atualizado, desconfiem de links suspeitos ou desconhecidos, instalem apenas aplicativos de lojas oficiais e tenham atenção aos acessos concedidos aos apps, além de evitar o roteamento e não permitir acesso remoto ao seu aparelho telefônico. Estas e outras orientações de segurança estão disponíveis em: itau.com.br/seguranca“
Nubank
A empresa se limitou a enviar um link do blog do Nubank sobre malwares, em que explica como o vírus é instalado e como removê-lo. O artigo não faz qualquer menção ao BrasDex: https://blog.nubank.com.br/malware-o-que-e/