Banker

Resumo

Tipo	Trojan [Keylogger] [Worm[1. Por definição, uma praga não pode ser worm e trojan ao mesmo tempo. Como a maioria dos Bankers é trojan, esta é sua categoria principal; no entanto, em alguns casos eles se encaixam como worms.]]
Aliases	Bancos Delf Banhost Banbra
Sistemas Afetados	Windows
Dano	Médio [roubo de senhas bancárias]
Tamanho	Variável
Remoção	Média
Notas	Nome genérico dado a pragas bancárias brasileiras.

Descrição

Banker é uma família extensa de pragas digitais que realizam a mesma função: roubam senhas bancárias. Algumas pragas são bem diferentes das outras e, por isso, recebem nomes distintos. Há, inclusive, grupos diferentes produzindo versões de Bankers sem ligação entre si.

Devido a semelhanças gerais, no entanto, a Linha Defensiva adota o termo “Banker” para qualquer ladrão de senha bancária desenvolvido e disseminado no Brasil.

O termo “banker” é também usado para descrever um criminoso de internet que atua em bancos (“banks“, em inglês), semelhante ao termo “carder” que é aplicado para especialistas em fraude com cartões de crédito. Por isso, o trojan também é chamado de “Bancos” por algumas empresas antivírus.

Muitas dessas pragas são desenvolvidas na linguagem Delphi. Antivírus detectam Bankers como Delf por essa razão.

Infecção

Há vários meios de infecção.

• E-mail: o método mais tradicional é por e-mail. Os criminosos enviam mensagens fraudulentas que tentam se passar por sites legítimos e por órgãos do governo. A praga normalmente está em um link presente na mensagem.
• Websites: criminosos invadem servidores de páginas web legítimas e alteram o código para incluir o vírus na página. Em alguns casos, se o navegador web ou plug-ins estiverem desatualizados, o Banker poderá ser instalado sem nenhum aviso ao visitante. Em outros, uma janela de download comum ou do Java poderá ser exibida para confirmar a instalação do vírus. Nesse caso, o download é disfarçado de uma versão do Flash ou outro software legítimo.
• Redes sociais: os Bankers também já foram disseminados por redes sociais, principalmente Orkut, mas também já foram registradas mensagens no Facebook. Algumas versões do Banker possuem a capacidade de se enviar automaticamente pelas redes sociais; nesse caso, a praga deixa de ser um cavalo de Troia para ser classificada como Worm.
• Mensageiros instantâneos: assim como no caso das redes sociais, o Windows Live Messenger (MSN) já foi utilizado por algumas versões do Banker para se disseminar.

Detalhes Técnicos

A maioria das versões do Banker é bastante simples. O código malicioso faz uma cópia de si mesmo em uma pasta de sistema (normalmente a pasta Windows, System32 ou alguma subpasta de Arquivos de Programas) e acrescenta uma entrada de registro para que o Windows carregue o programa toda vez que for iniciado.

Os nomes de arquivos utilizados são bastante variados. Algumas das infecções utilizam nomes aleatórios.

Em outros casos, o Banker também registra um Browser Helper Object (BHO) no Internet Explorer. O BHO vai facilitar o monitoramento da navegação do internauta, permitindo o roubo de senhas.

Os Bankers mais sofisticados possuem a capacidade de instalar um driver no sistema. A praga só conseguirá isso se o usuário estiver usando o sistema como “administrador”. Alguns Bankers conseguem se instalar mesmo com uma permissão de usuário padrão; nesse caso, a praga utilizará pastas como a “Dados de Aplicativos”, pois um usuário não-administrativo não está autorizado a copiar arquivos na pasta do Windows ou Arquivos do Programas, nas quais normalmente a praga se aloja.

Carga Maliciosa

O objetivo principal do Banker é roubar senhas bancárias. Alguns Bankers são também programados para roubar senhas de serviços on-line, como redes sociais. Outras versões do código são capazes de roubar cartões de crédito e senhas de usuários em sites de companhias aéreas, que depois serão acessadas para o roubo de milhas de viagens acumuladas.

Bankers podem roubar senhas das seguintes formas:

1. Criando uma janela falsa no momento em que o internauta acessa um site cujas senhas serão roubadas;
2. Modificando a página para solicitar informações durante o que parece ser um acesso normal ao banco;
3. Alterando o arquivo Hosts para redirecionar os sites desejados;
4. Configurando um arquivo de proxy (.pac) nos navegadores web;
5. Realizando automaticamente uma transferência a partir da sessão do usuário — ou seja, o Banker “controla” o navegador e faz o internauta realizar uma transferência ou pagar um boleto automaticamente. Em alguns casos, o extrato exibido é falsificado para que o internauta não perceba a quantia roubada.

Outras ações dos Bankers, relacionadas ou não com o roubo de senhas, incluem:

1. Tentar remover o software de segurança instalado por bancos;
2. Reduzir a segurança do sistema, alterando configurações do Windows e do Internet Explorer;
3. Disseminar-se para outros sistemas via redes sociais ou mensageiros instantâneos.

Recomendações

• Manter o sistema, o navegador web e os plug-ins, como o Java e o Flash, atualizados para evitar falhas de segurança
• Não clicar nos links de mensagens fraudulentas que chegam via e-mail
• Cuidado ao navegar nas redes sociais e acessar links, mesmo que estes forem enviados por amigos

Alertas

Veja a seção de alertas →

Remoção

Ferramentas de Remoção

A Linha Defensiva disponibiliza a ferramenta BankerFix. O BankerFix remove várias versões do Banker e detecta diversas outras.

Faça o download →

Remoção Manual

A remoção manual depende do conhecimento a respeito dos arquivos criados no sistema. Como esta descrição é genérica e trata de várias versões distintas do Banker, não é possível fornecer instruções precisas para a remoção manual.

Links

• Symantec: Infostealer.Bancos
• Kaspersky: Trojan-Banker.Delf