Já imaginou tentar desbloquear o celular e, de repente, a tela está toda preta, então você repete o padrão de desbloqueio e a interface permanece a mesma, e não lembra também de ter aberto o aplicativo bancário nos últimos segundos. E, nessa altura você vê o celular, sozinho, roubando todo o seu saldo. Parece um pesadelo, mas é pior. Este é um Ataque da Mão Fantasma, uma nova categoria de malware de alto risco nascido no Brasil e que já perturba vítimas internacionais.

Nomeado oficialmente de Ghost Hand Attack (Ataque da Mão Fantasma), a modalidade foi apresentada na terça-feira (31), no Fórum Konferencia@Casa 2021 da Kaspersky e ataca exclusivamente dispositivos móveis.

O analista de segurança digital, Fábio Assolini, descreveu o golpe como “uma mão invisível, que usa o seu celular bem na sua frente” e depende tanto de malwares quanto fraudes para operacionalizar.

Na prática, um trojan de acesso remoto (RAT) é instalado por email fraudulento que oferece uma atualização falsa de aplicativo, ou táticas de scareware, que são os famosos anúncios alarmistas de “seu Android está infectado”. E então, o programa abre acesso ao cibercriminoso, que pode utilizar o seu celular em tempo real.

Os RATs burlam todos os sistemas de autenticação de usuário e dão prioridade do smartphone aos golpistas. Em todos os casos de Ghost Hand Attack, os malwares assumem privilégio administrativo do dispositivo. E removê-los não é simples. Ao tentar desinstalar, os programas maliciosos fecham a tela automaticamente, ou ainda, ocultando-os da lista de apps instalados.

Instituições financeiras

Até o momento, apenas três famílias de RATs usadas em Ataques de Mão Fantasma foram detectadas pelas instituições: o grupo de trojans bancários Ghimob, BRata e TwMobo. Inicialmente atuando apenas no Brasil, hoje os três programas já vitimaram pessoas e instituições na América Latina, Europa e nos Estados Unidos.

E por se tratar de operações diretamente do celular da vítima, é difícil para instituições financeiras detectarem que as transferências originam de fraudes. Os RATs não furam bloqueios de segurança ou de acesso pessoal entre o dispositivo e a plataforma das instituições. Além disso, possuem acesso direto aos fatores de autenticação, como código SMS e email, podendo mudar as senhas para o que quiserem.