Golpe on-line redireciona sites de bancos e infecta celulares android.

A fabricante de antivírus Trend Micro divulgou na terça-feira (22) uma pesquisa que detalha um golpe on-line usado por uma quadrilha ou indivíduo que estaria ativo desde 2011. Os ataques mais recentes redirecionam sites de banco com um código que não fica ativo no computador, levando as vítimas a um site falso que orienta para a instalação de um aplicativo para Android. O app, que diz ser um gerador de senhas do banco, na verdade intercepta mensagens SMS para que os criminosos realizem o roubo.

A pesquisa foi realizada por três especialistas da Trend Micro, David Sancho, Feike Hacquebord, e Rainer Link. O documento completo (veja aqui, PDF em inglês) está disponível on-line. O golpe ocorre na Suíça, na Áustria e na Suécia. Desde maio, o ataque também atinge internautas do Japão.

A quadrilha, quando começou a atuar, utilizava softwares espiões “prontos”. Esses ataques mais recentes do grupo, no entanto, são códigos novos. O vírus que ataca o Windows é disseminado com e-mails falsos e, uma vez aberto pela vítima, modifica a configuração de DNS (Domain Name Service) do sistema. Com isso, os criminosos podem controlar qual o servidor acessado pela vítima quando ela digita o endereço do banco no navegador.

O vírus ainda instala um novo certificado raiz no sistema, permitindo que os sites falsos tenham um certificado SSL válido, exibindo o conhecido “cadeado” de segurança. Depois disso, o vírus se desinstala, não deixando nenhum outro rastro.

O site falso do banco se parece com o original, mas solicita que o internauta instale um aplicativo para Android que seria fornecido pelo banco para gerar senhas de autorização para transações. Esse aplicativo, no entanto, intercepta as mensagens SMS recebidas pelo aparelho. Assim, a proteção dos bancos que utiliza mensagens SMS para gerar senhas únicas para as transações fica comprometida.

 

Para que o golpe pareça mais natural, o site falso diz ao usuário que deve digitar um código recebido no celular. Como o código nunca chega, o usuário é obrigado a clicar no link “não recebi o código”, que então recomenda a instalação do aplicativo falso. A quadrilha (ou indivíduo) e o golpe foram batizados de “Emmental”.