Os criminosos cibernéticos brasileiros dependeram, por muito tempo, de ferramentas importadas de outros países, principalmente do Leste Europeu, ou fizeram uso de códigos rudimentares, facilmente decifrados e combatidos. Não é mais assim. Empresas de segurança já alertam para malwares (software malicioso) criados no Brasil e exportados para outros mercados, em sintoma pouco edificante da sofisticação tecnológica local. As informações são do jornal O Globo.
Detectado pela Avast, o Guildma é uma ferramenta de acesso remoto (RAT, na sigla em inglês) com foco no sistema bancário. Após infectar computadores, ele se mantém escondido, esperando que a vítima abra o site do seu banco para entrar em ação, roubando credenciais e assumindo o controle da máquina para transações fraudulentas.
No início, mirava apenas bancos brasileiros, mas expandiu sua atuação para mais de 130 bancos e 75 serviços, como Netflix, Amazon e Facebook.
“As primeiras versões eram apenas para brasileiros. Depois vimos eles se espalhando pela América Latina e Europa”, afirma Luigi Camastra, especialista em segurança da Avast. “Se você quer mais dinheiro, precisa ampliar as operações para outros países.”
A empresa de antivírus ESET identificou uma família de trojans (Cavalo de Troia) bancários batizada como Amavaldo, desenvolvida para o mercado brasileiro, mas que expandiu sua atuação para o México. De acordo com a empresa, os malwares produzidos na América Latina possuem algumas particularidades.
Além de estarem voltados para falantes de português e espanhol, normalmente são escritos na linguagem Delphi e se aproveitam de programas e ferramentas legítimas para infectar suas vítimas. Usam ainda algoritmos criptográficos pouco conhecidos.
Desenvolver um malware exige a mesma formação de um desenvolvedor de softwares. Muitas vezes, seus códigos são disponibilizados em fóruns ou comercializados na chamada deep web , recanto da rede acessado através de navegadores especializados e que fica fora do radar de ferramentas como o Google.
Anotações em português
Nas profundezas da internet existe um mercado onde programadores podem ser contratados e malwares podem ser até mesmo alugados. O uso de um ransomware (malware que bloqueia o dispositivo alvo e só o libera após pagamento de resgate), por exemplo, pode ser contratado por US$ 120 por mês.
“Existe exportação de malwares brasileiros. Se a intenção for disseminar rapidamente, o programador pode liberar o código aberto em fóruns. Ou pode comercializá-lo com outros criminosos”, pontua Daniel Barbosa, pesquisador da ESET.
Thiago Marques, analista de segurança da Kaspersky, conta que a cooperação com hackers do Leste Europeu, que era intensa há uma década, tem sido cada vez menor, com a crescente sofisticação dos criminosos cibernéticos brasileiros. Hoje, é cada vez mais comum deparar com códigos com anotações em português, desenvolvidos especificamente para sistemas bancários e vítimas brasileiras. A presença, em países vizinhos, de bancos que atuam aqui facilita a exportação.
“Os códigos são os mesmos usados aqui, mas os e-mails de phishing (mensagens fraudulentas que tentam convencer o alvo a clicar em um link malicioso) são em espanhol nativo”, afirma Marques.
Só no segmento das ferramentas de acesso remoto com foco em bancos, as RATs, pelo menos duas famílias de malwares brasileiros circulam no exterior, estima Marques.