Saiba como funcionam os vírus que roubam senhas de banco

A palavra “banker” é uma variação dos termos “cracker” e “hacker”: assim como o “phreaker”

Os códigos maliciosos mais comuns da internet brasileira são os ?bankers? ? pragas digitais que roubam principalmente as senhas de acesso aos serviços de internet banking. A palavra ?banker? é uma variação dos termos ?cracker? e ?hacker?: assim como o ?phreaker? é especializado no sistema telefônico e o ?carder? em cartões de crédito, o ?banker? se especializa em bancos. Como funciona o ataque de um ?banker?, da infecção do sistema até o roubo das informações bancárias? Esse é o assunto da coluna Segurança para o PC de hoje.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

Disseminação

A maioria dos bankers pode ser considerada um ?cavalo de troia?, ou seja, eles não se espalham sozinhos. Quem dissemina a praga é o próprio criador do vírus e, uma vez instalado no sistema da vítima, o código malicioso tentará apenas roubar as credenciais de acesso e não irá se espalhar para outros sistemas. Existem exceções: alguns desses vírus conseguem se espalhar por Orkut e MSN, por exemplo.

Mesmo que o vírus consiga se espalhar sozinho, ele precisa começar em algum lugar. Tudo geralmente começa em um e-mail, como a coluna mostrou anteriormente.

O vírus acima será chamado de ?banker telegrama? por causa da isca utilizada pelos fraudadores. Essa tela de confirmação de download aparece assim que o internauta tenta acessar o link oferecido no e-mail malicioso. Nesse caso, o e-mail diz ser um telegrama. É possível verificar que o endereço do site não tem nenhuma relação com ?telegrama?, mas o nome do arquivo, sim.

Os criminosos também podem invadir algum site conhecido para infectar os visitantes. Isso já aconteceu com o site das operadoras Vivo e Oi e com o time de futebol São Paulo FC.

Em entrevista ao G1, um especialista da empresa antivírus Kaspersky informou que o conhecimento dos hackers brasileiros era de ?nível técnico?. Os meios de infecção mostrados acima são realmente muito simples.

Um ataque avançado poderia ter contaminado o computador de teste usado pela coluna sem a necessidade de autorizar o download, porque o sistema estava desatualizado e com diversas brechas de segurança passíveis de exploração. Mais adiante será possível ver outros deslizes técnicos dos golpistas.

A grande maioria dos vírus brasileiros é muito simples: resumem-se a um ou dois arquivos no disco rígido, executados automaticamente quando o sistema é iniciado. Quem puder identificar os arquivos e apagá-los terá um sistema novamente limpo. Existem algumas pragas bem mais sofisticadas, mas não são muito comuns.

No caso do Banker Telegrama, o vírus se instala numa pasta chamada ?Adobe? em ?Arquivos de Programas? com o nome ?AcroRd32.scr?, numa clara tentativa de se passar pelo Adobe Reader (que tem exatamente o mesmo nome, mas com extensão ?.exe? e fica em outra pasta).

Mas os golpistas esqueceram de trocar o ícone. O ícone usado pelo vírus é padrão de aplicativos criados na linguagem de programação Delphi, muito utilizada pelos programadores brasileiros (tanto de softwares legítimos como vírus).

Já o Banker do Applet foi mais cuidadoso: o arquivo malicioso copiou-se para a pasta ?system?, dentro da pasta Windows. O nome de arquivo utilizado foi ?wuaucldt.exe? ? um "d" a mais do que o arquivo legítimo do Windows "wuauclt.exe", responsável pelas atualizações automáticas. O ícone também foi trocado para ser idêntico ao do arquivo do sistema operacional.

Roubo de dados

Depois que o vírus está alojado no PC, ele precisa roubar os dados do internauta de alguma forma. As técnicas são várias. Algumas pragas mais antigas fechavam o navegador web no acesso ao banco e abriam outro navegador, falso, que iria roubar os dados.

Hoje, as técnicas mais comuns são o monitoramento da janela e o redirecionamento malicioso. Cada praga analisada pela coluna usou uma delas.

No caso do redirecionamento, o que ocorre é uma alteração no arquivo "hosts" do Windows. A função desse arquivo já foi explicada pela coluna. Ele permite que o usuário defina um endereço que será acessado quando um site for solicitado. O que a praga faz é associar endereços falsos aos sites de instituições financeiras.

Quando um endereço de um banco é acessado, a vítima cai em uma página clonada. Esse acesso é visto e controlado pelos criminosos. Se o usuário realizar o login no serviço de internet banking pela página falsa, os dados da conta e a senha cairão nas mãos dos fraudadores.

Aqui é possível perceber outros descuidos técnicos dos golpistas: o site clonado apresenta erros, como por exemplo de ?página não encontrada?. A reportagem usa como exemplo a página clone do Banco do Brasil, mas esse vírus redireciona vários outros bancos, e todas as páginas clonadas têm problemas semelhantes.

Fonte: g1, www.g1.com.br