A Polícia Civil do Estado de São Paulo deflagrou uma operação para capturar o desenvolvedor do malware GoatRAT na manhã desta quarta-feira (21). Foram expedidos 11 mandados de busca e apreensão na Bahia (BA), Paraná (PR) e São Paulo (SP).
Realizada pela Delegacia de Polícia de Investigações sobre Furtos e Roubos a Bancos do DEIC, a operação teve sucesso ao encontrar um homem de 18 anos suspeito de ser o responsável pelo malware GoatRAT - que também seria o programador do site cibercriminoso de vendas MWCriminal.
O suspeito foi encontrado no Paraná
De acordo com as autoridades, o homem foi acusado de furto qualificado mediante fraude. Além disso, que o malware em questão ainda pode estar ativo.
Segundo as autoridades, o acusado utilizava um modus operandi que envolvia central bancária falsa e a distribuição do malware via Google Play Store.
Dentro do malware, foi possível encontrar keylogger e um script CSV com contas laranjas PIX para pulverizar o dinheiro recolhido após o roubo.
O malware GoatRAT, conhecido por atuar como uma ferramenta de acesso remoto maliciosa, evoluiu recentemente para atuar com Sistema Automático de Transferência (ATS). Isso significa que ele tem a capacidade de realizar transferências financeiras não-autorizadas em dispositivos infectados.
Dessa maneira, o GoatRAT entra na família de malwares que tem a capacidade de, entre outras coisas, roubar transferências PIX de celulares com contas brasileiras. Entre esses tipos de softwares, está o BrasDEX.
Um ATS é um aplicativo, um framework, que facilita a automatização de processos de transferências em um aparelho
O modus operandi do malware é o seguinte: primeiro, o malware inicia uma seção chamada "Servidor". Ela serve para estabelecer o contato com o Comando & Controle (C&C) para alcançar a chave PIX usada no esquema. Logo em seguida, o vírus pede a liberação dos serviços de Acessibilidade e permissão para overlay – no caso, overlay mirando Nubank, Banco Inter ou PagBank.
Um sistema de overlay malicioso é quando um malware simula uma página ou mensagem falsa sobrepondo um aplicativo legítimo para roubar credenciais ou realizar outras ações fraudulentas.
Então, o ATS é realizado por uma sequência de quatro passos (que podem ser vistos em detalhes aqui). Após identificações realizadas pelo sistema, o overlay bancário e as liberações de acessibilidade, o cibercriminoso ganha a capacidade de incluir a quantidade de dinheiro que ele busca transferir via PIX dentro da aplicação legítima - e isso tudo sem alertar a vítima
É importante notar que o GoatRAT é um malware pernicioso: ele começa a abrir, talvez, uma nova geração de trojans bancários aqui no Brasil que burlam técnicas de segurança como 2FA – segundo fator de autenticação. Ele não precisa roubar códigos que cheguem via SMS ou app terceiro (Microsoft Authenticator, por exemplo) para acessar contas e realizar transações fraudulentas. Ou seja, é como a primeira erva-daninha.
Isso significa que você deve abandonar o segundo fator de autenticação e que tudo está perdido? Não, absolutamente não. No caso do GoatRAT, você deve seguir outros passos - além desses:
Fonte: Tecmundo