Resumo

Tipo Trojan [Keylogger] [Worm[1. Por definição, uma praga não pode ser worm e trojan ao mesmo tempo. Como a maioria dos Bankers é trojan, esta é sua categoria principal; no entanto, em alguns casos eles se encaixam como worms.]]
Aliases
  • Bancos
  • Delf
  • Banhost
  • Banbra
Sistemas Afetados
  • Windows
Dano Médio [roubo de senhas bancárias]
Tamanho Variável
Remoção Média
Notas Nome genérico dado a pragas bancárias brasileiras.

Descrição

Banker é uma família extensa de pragas digitais que realizam a mesma função: roubam senhas bancárias. Algumas pragas são bem diferentes das outras e, por isso, recebem nomes distintos. Há, inclusive, grupos diferentes produzindo versões de Bankers sem ligação entre si.

Devido a semelhanças gerais, no entanto, a Linha Defensiva adota o termo “Banker” para qualquer ladrão de senha bancária desenvolvido e disseminado no Brasil.

O termo “banker” é também usado para descrever um criminoso de internet que atua em bancos (“banks“, em inglês), semelhante ao termo “carder” que é aplicado para especialistas em fraude com cartões de crédito. Por isso, o trojan também é chamado de “Bancos” por algumas empresas antivírus.

Muitas dessas pragas são desenvolvidas na linguagem Delphi. Antivírus detectam Bankers como Delf por essa razão.

Infecção

Há vários meios de infecção.

  • E-mail: o método mais tradicional é por e-mail. Os criminosos enviam mensagens fraudulentas que tentam se passar por sites legítimos e por órgãos do governo. A praga normalmente está em um link presente na mensagem.
  • Websites: criminosos invadem servidores de páginas web legítimas e alteram o código para incluir o vírus na página. Em alguns casos, se o navegador web ou plug-ins estiverem desatualizados, o Banker poderá ser instalado sem nenhum aviso ao visitante. Em outros, uma janela de download comum ou do Java poderá ser exibida para confirmar a instalação do vírus. Nesse caso, o download é disfarçado de uma versão do Flash ou outro software legítimo.
  • Redes sociais: os Bankers também já foram disseminados por redes sociais, principalmente Orkut, mas também já foram registradas mensagens no Facebook. Algumas versões do Banker possuem a capacidade de se enviar automaticamente pelas redes sociais; nesse caso, a praga deixa de ser um cavalo de Troia para ser classificada como Worm.
  • Mensageiros instantâneos: assim como no caso das redes sociais, o Windows Live Messenger (MSN) já foi utilizado por algumas versões do Banker para se disseminar.

Detalhes Técnicos

A maioria das versões do Banker é bastante simples. O código malicioso faz uma cópia de si mesmo em uma pasta de sistema (normalmente a pasta Windows, System32 ou alguma subpasta de Arquivos de Programas) e acrescenta uma entrada de registro para que o Windows carregue o programa toda vez que for iniciado.

Os nomes de arquivos utilizados são bastante variados. Algumas das infecções utilizam nomes aleatórios.

Em outros casos, o Banker também registra um Browser Helper Object (BHO) no Internet Explorer. O BHO vai facilitar o monitoramento da navegação do internauta, permitindo o roubo de senhas.

Os Bankers mais sofisticados possuem a capacidade de instalar um driver no sistema. A praga só conseguirá isso se o usuário estiver usando o sistema como “administrador”. Alguns Bankers conseguem se instalar mesmo com uma permissão de usuário padrão; nesse caso, a praga utilizará pastas como a “Dados de Aplicativos”, pois um usuário não-administrativo não está autorizado a copiar arquivos na pasta do Windows ou Arquivos do Programas, nas quais normalmente a praga se aloja.

Carga Maliciosa

O objetivo principal do Banker é roubar senhas bancárias. Alguns Bankers são também programados para roubar senhas de serviços on-line, como redes sociais. Outras versões do código são capazes de roubar cartões de crédito e senhas de usuários em sites de companhias aéreas, que depois serão acessadas para o roubo de milhas de viagens acumuladas.

Bankers podem roubar senhas das seguintes formas:

  1. Criando uma janela falsa no momento em que o internauta acessa um site cujas senhas serão roubadas;
  2. Modificando a página para solicitar informações durante o que parece ser um acesso normal ao banco;
  3. Alterando o arquivo Hosts para redirecionar os sites desejados;
  4. Configurando um arquivo de proxy (.pac) nos navegadores web;
  5. Realizando automaticamente uma transferência a partir da sessão do usuário — ou seja, o Banker “controla” o navegador e faz o internauta realizar uma transferência ou pagar um boleto automaticamente. Em alguns casos, o extrato exibido é falsificado para que o internauta não perceba a quantia roubada.

Outras ações dos Bankers, relacionadas ou não com o roubo de senhas, incluem:

  1. Tentar remover o software de segurança instalado por bancos;
  2. Reduzir a segurança do sistema, alterando configurações do Windows e do Internet Explorer;
  3. Disseminar-se para outros sistemas via redes sociais ou mensageiros instantâneos.

Recomendações

  • Manter o sistema, o navegador web e os plug-ins, como o Java e o Flash, atualizados para evitar falhas de segurança
  • Não clicar nos links de mensagens fraudulentas que chegam via e-mail
  • Cuidado ao navegar nas redes sociais e acessar links, mesmo que estes forem enviados por amigos

Alertas

Veja a seção de alertas →

Remoção

Ferramentas de Remoção

A Linha Defensiva disponibiliza a ferramenta BankerFix. O BankerFix remove várias versões do Banker e detecta diversas outras.

Faça o download →

Remoção Manual

A remoção manual depende do conhecimento a respeito dos arquivos criados no sistema. Como esta descrição é genérica e trata de várias versões distintas do Banker, não é possível fornecer instruções precisas para a remoção manual.

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s