Um novo vírus que mira brasileiros está sendo distribuído por meio do WhatsAppWeb e utiliza técnicas avançadas para roubar dados de clientes de diversos bancos e corretoras de criptomoedas nacionais. Somente em outubro, a empresa de cibersegurança Kaspersky informou ter bloqueado mais de 62 mil tentativas de infecção da ameaça, batizada de Maverick, no Brasil.

Segundo a Kaspersky, o ataque começa com o envio de um arquivo no formato .zip via WhatsApp, acompanhado de uma mensagem que informa que o conteúdo só pode ser visualizado pelo computador. No arquivo, há um atalho malicioso no formato .LNK, que ao ser aberto verifica se o sistema da vítima está configurado para o Brasil, analisando o fuso horário, o idioma e até o formato de data e hora do computador.

A infecção só ocorre caso essas configurações estejam de acordo com o padrão brasileiro. A partir daí, o arquivo malicioso inicia uma cadeia de infecção complexa, que acontece inteiramente na memória do sistema, o que dificulta sua detecção.

Após a infecção do dispositivo, o vírus permanece inativo no computador da vítima até a vítima tentar acessar um dos 26 bancos ou seis corretoras de criptomoedas monitorados pelo Maverick — cujos nomes não foram revelados. A partir desse momento o vírus assume o controle de algumas funções do dispositivo.

Ele consegue tirar prints da tela, registrar o que é digitado, acompanhar a navegação e até usar a conta de WhatsApp da vítima para se espalhar, automatizando o envio de mensagens fraudulentas pela versão web do aplicativo.

Segundo a Kaspersky, o Maverick não infecta o WhatsApp. A versão web do app é utilizado apenas como meio de propagação, sem ter acesso direto à conta ou conseguir usar o aplicativo sozinho quando o usuário não está on-line.

Ameaça mais sofisticada

A análise da Kaspersky identificou semelhanças entre o código do Maverick e o do trojan Coyote — descoberto em 2004 pela empresa —, que sugerem que o primeiro pode ser uma evolução ou um projeto paralelo dos mesmos desenvolvedores do Coyote, com componentes reformulados para criar uma ameaça ainda mais sofisticada.

— O que mais chama a atenção no Maverick é sua sofisticação e sua ligação com ameaças anteriores. (...) Além disso, a capacidade de se espalhar automaticamente pelo WhatsApp o torna um worm com potencial de crescimento exponencial, elevando o impacto do golpe. É uma das cadeias de infecção mais complexas que já vimos para um trojan bancário — comenta Anderson Leite, analista sênior de Segurança da equipe global de pesquisa e análise da Kaspersky para a América Latina.

Investimento em proteção

Procurada, a Meta, dona do WhatsApp, informou está sempre trabalhando para tornar o app de mensagens mais seguro para a comunicação privada.

"É por isso que criamos camadas de proteção que oferecem mais contexto sobre com quem você está conversando ao receber uma mensagem de alguém que você não conhece – além de proteger suas conversas pessoais com a criptografia de ponta a ponta", diz trecho da nota.

Já a Federação Brasileira de Bancos (Febraban) disse que o sistema bancário possui estruturas robustas de monitoramento de seus sistemas, além de utilizar o que há de mais moderno em termos de tecnologia e segurança da informação. A exemplo disso, a entidade cita mensageria criptografada, autenticação biométrica, tokenização, e tecnologias como big data, analytics e inteligência artificial utilizadas em processos de prevenção de riscos.

"Estes processos são continuamente aprimorados, considerando os avanços tecnológicos e as mudanças no ambiente de riscos", diz trecho da nota enviada pela Febraban.

Como se proteger

Desconfie de arquivos recebidos pelo WhatsApp, mesmo de contatos conhecidos, especialmente se forem arquivos compactados (.zip)

Nunca clique em arquivos de atalho (.LNK) de fontes não confiáveis

Utilize uma solução de segurança robusta, que detecte e bloqueie ameaças como o Maverick em todas as etapas da infecção

Se receber uma mensagem suspeita, não a encaminhe e avise o contato que a enviou