Por Sérgio Matsuura do O Globo
RIO – Por muitos anos, os criminosos cibernéticos brasileiros dependeram de ferramentas importadas de outros países, principalmente do Leste Europeu, ou fizeram uso de códigos rudimentares, facilmente decifrados e combatidos. Não mais. Empresas de segurança já alertam para malwares (software malicioso) criados no Brasil e exportados para outros mercados, em sintoma pouco edificante da sofisticação tecnológica local.
Detectado pela Avast, o Guildma é uma ferramenta de acesso remoto (RAT, na sigla em inglês) com foco no sistema bancário. Após infectar computadores, ele se mantém escondido, esperando que a vítima abra o site do seu banco para entrar em ação, roubando credenciais e assumindo o controle da máquina para transações fraudulentas.
No início, mirava apenas bancos brasileiros, mas expandiu sua atuação para mais de 130 bancos e 75 serviços, como Netflix, Amazon e Facebook.
— As primeiras versões eram apenas para brasileiros. Depois vimos eles se espalhando pela América Latina e Europa — afirma Luigi Camastra, especialista em segurança da Avast. — Se você quer mais dinheiro, precisa ampliar as operações para outros países.
A empresa de antivírus ESET identificou uma família de trojans (Cavalo de Troia) bancários batizada como Amavaldo, desenvolvida para o mercado brasileiro, mas que expandiu sua atuação para o México. De acordo com a empresa, os malwares produzidos na América Latina possuem algumas particularidades.
Além de estarem voltados para falantes de português e espanhol, normalmente são escritos na linguagem Delphi e se aproveitam de programas e ferramentas legítimas para infectar suas vítimas. Usam ainda algoritmos criptográficos pouco conhecidos.
Desenvolver um malware exige a mesma formação de um desenvolvedor de softwares. Muitas vezes, seus códigos são disponibilizados em fóruns ou comercializados na chamada deep web , recanto da rede acessado através de navegadores especializados e que fica fora do radar de ferramentas como o Google.
Anotações em português
Nas profundezas da internet existe um mercado onde programadores podem ser contratados e malwares podem ser até mesmo alugados. O uso de um ransomware ( malware que bloqueia o dispositivo alvo e só o libera após pagamento de resgate), por exemplo, pode ser contratado por US$ 120 por mês.
— Existe exportação de malwares brasileiros. Se a intenção for disseminar rapidamente, o programador pode liberar o código aberto em fóruns. Ou pode comercializá-lo com outros criminosos — pontua Daniel Barbosa, pesquisador da ESET.
Thiago Marques, analista de segurança da Kaspersky, conta que a cooperação com hackers do Leste Europeu, que era intensa há uma década, tem sido cada vez menor, com a crescente sofisticação dos criminosos cibernéticos brasileiros. Hoje, é cada vez mais comum deparar com códigos com anotações em português, desenvolvidos especificamente para sistemas bancários e vítimas brasileiras. A presença, em países vizinhos, de bancos que atuam aqui facilita a exportação.
— Os códigos são os mesmos usados aqui, mas os e-mails de phishing(mensagens fraudulentas que tentam convencer o alvo a clicar em um link malicioso) são em espanhol nativo — afirma Marques.
Só no segmento das ferramentas de acesso remoto com foco em bancos, as RATs, pelo menos duas famílias de malwares brasileiros circulam no exterior, estima Marques.
