Crime e Justiça
Cavalo de Troia ligado à China esvazia contas bancárias latino-americanas e europeias
Golpe chinês engana usuários para que baixem aplicativos falsos através de sites piratas, que burlam as medidas de segurança e roubam dados bancários depois de instalados.
![Ilustração mostra aplicações de Google, Amazon, Facebook e Apple com reflexo de código binário na tela de um tablet. [Lionel Bonaventure/AFP]](/gc4/images/2024/11/20/48186-toxic-600_384.webp)
Por John Caicedo |
LIMA – Um cavalo de Troia bancário recentemente descoberto, que se acredita ter origem na China, está se espalhando rapidamente pelo Peru e outros países da América Latina, visando usuários de Android e comprometendo suas contas bancárias.
O ToxicPanda, um programa malicioso concebido para roubar informações e fundos bancários, se propagou principalmente pela Europa, mas sua presença também foi detectada em vários países da América Latina.
Mais de 1.500 dispositivos foram comprometidos na Europa e na América Latina até novembro, revelou a equipe de Threat Intelligence da empresa de segurança cibernética Cleafy em um relatório de 4 de novembro.
ToxicPanda em ação
"O principal objetivo do ToxicPanda é iniciar transferências de dinheiro a partir de dispositivos comprometidos através do sequestro de contas (ATO) usando uma técnica bem conhecida chamada fraude no dispositivo (ODF)", de acordo com o artigo.
![Dados agregados, mostrados no mapa acima, destacam o padrão de alvos do ToxicPanda e a distribuição geográfica das vítimas. [Cleafy Threat Intelligence team].](/gc4/images/2024/11/20/48187-toxic22-600_384.webp)
O malware se propaga principalmente através do download de aplicativos de fontes não oficiais, uma prática conhecida como "sideloading".
Ele utiliza sites falsos para enganar os usuários e levá-los a baixar e instalar aplicativos aparentemente legítimos, burlando efetivamente as proteções de segurança padrão.
Assim que a aplicação falsa é instalada, recolhe informações bancárias quando a vítima introduz suas credenciais.
O cavalo de Troia ainda está em sua fase inicial de desenvolvimento, diz Cleafy.
Suspeitos chineses
Os criminosos, suspeitos de serem falantes de chinês, teriam obtido acesso direto a contas bancárias através de smartphones comprometidos.
"Uma caraterística notável deste malware, que se alinha com as práticas habitualmente observadas entre os programadores de língua chinesa, é sua capacidade de acessar álbuns dos telefones, converter imagens... e transmiti-las de volta para o servidor de comando e controle (C2)", afirmou o relatório.
Embora esta técnica não seja totalmente nova – já observada em malware como o TrickMo –, ela marca "um método notável para extrair informações potencialmente sensíveis (por exemplo, capturas de tela de credenciais de login ou cartões virtuais) de dispositivos de usuários", segundo o relatório.
O Cleafy analisou arquivos do malware e identificou um servidor DNS (Domain Name System) hardcoded, especificamente um servidor DNS público chinês gratuito conhecido como 114DNS.
"A sua utilização no malware ou em configurações suspeitas pode indicar uma ligação entre os agentes da ameaça e a China", acrescentou o documento.
A Itália foi o país mais afetado por esta fraude bancária, com 56,8% dos mais de 1.500 dispositivos infectados. Em seguida, Portugal (18,7%), Hong Kong (4,6%), Espanha (3,9%) e Peru (3,4%).
Foram registrados casos também no Chile e na Argentina.