“Não habilite a instalação a partir de fontes desconhecidas. Só instale apps do Google Play. Se fizer isso, não precisa de antivírus”. Durante muito tempo essas foram as principais recomendações (minhas, inclusive) aos usuários de smartphones Android para se manter seguros. Mas os tempos mudaram, as estratégias dos criminosos também, e hoje isso não é mais o bastante. Foi o que apresentou a Kaspersky durante a Cúpula Latino-Americana de Cybersegurança, realizada no final de agosto em Puerto Iguazu, Argentina.
Quando falamos em segurança em smartphones, há quem “ria na cara do perigo”, dizendo “pode invadir, não tenho nada no meu celular!”. Cláudio Martinelli, Diretor Geral da Kaspersky na América Latina, tem uma resposta na ponta da língua para esse tipo de usuário:
“Tem o telefone da mãe dele lá. Que pode ser o alvo de um sequestro, de uma chamada feita de uma prisão. Tem o endereço da sua casa, da sua família. Tem a sua localização geográfica, tem o caminho que você faz de sua casa pro seu trabalho.
Você não deixa a porta da sua casa aberta quando sai pro trabalho, você passa a chave e põe tranca no portão. Com seu celular é a mesma coisa: ele é a porta de entrada mais próxima da sua vida física, não da sua vida digital. Tá tudo lá. Ninguém nesse mundo sabe mais da sua vida do que o seu celular, ele sabe mais do que a sua esposa, do que sua mãe. É uma presunção muito grande alguém achar que não corre risco.”
E as ameaças são reais. Segundo a empresa, entre julho de 2018 e Julho de 2019 o Brasil ocupou a 7ª posição no ranking mundial de países mais atacados por malware, com 22 ataques por segundo. Se considerarmos apenas os dispositivos móveis, são 6,2 ataques por segundo na América Latina.
A principal ameaça é AdWare, um tipo de malware que infecta o smartphone e bombardeia o usuário com anúncios, muitas vezes ao ponto de tornar impossível usar o aparelho. Outro perigo comum são os ataques de phishing, quando o criminoso “joga uma lábia” e, se passando por uma central de banco, por exemplo, convence a vítima a divulgar dados confidenciais, como o número de uma conta ou cartão e sua senha.
Mas há outros perigos. Um deles, apresentado pela primeira vez durante o evento, é o BRATa, um RAT (Remote Administration Tool, Ferramenta de Administração Remota) que foi distribuído através do Google Play e, em uma de suas muitas versões, chegou a ter mais de 10 mil downloads antes de ser removido da loja. Uma vez instalado, o BRATa permite que um malfeitor tenha controle total sobre o aparelho da vítima, inclusive com a capacidade de ver em tempo real tudo o que está acontecendo na tela.
Segundo Santiago Pontiroli, Analista de Segurança da Kaspersky, o malware abusa de um serviço legítimo do Android, o serviço de acessibilidade, para infectar aparelhos. Isso torna qualquer smartphone Android equipado com este serviço (praticamente qualquer aparelho com Android 5.0 ou mais recente) seja uma vítima em potencial. Smartphones infectados não mostram nenhum “sintoma” particular (como anúncios fora de hora ou lentidão), e uma vez que tenha cumprido sua missão o malware pode ser removido remotamente pelos criminosos, sem deixar vestígios no aparelho.
O alvo dos bandidos, claro, são credenciais bancárias, já que 65% das transações bancárias no Brasil são feitas através de smartphones. E uma vez que os criminosos tem seus dados, o prejuízo vem rápido.
“O criminoso brasileiro é muito imediatista, ele quer ter um ganho de forma rápida, é o que eles chamam de “correria”. Se eles pegam sua credencial agora, em menos de 30 minutos sua conta vai ser invadida ou seu cartão vai ser clonado, é super rápido. Eles tem essa agilidade porque sabem que as equipes anti-fraude também estão trabalhando, então querem aproveitar o momento”, diz Fabio Assolini, Pesquisador Sênior de Segurança na Kaspersky.
Mas não só as credenciais bancárias que são valiosas. Dados pessoais, como nomes completos, endereço, número de CPF, etc. podem ser usados para habilitar outros golpes no futuro. Segundo Assolini “as informações pessoais do usuário vão apoiar a fraude financeira. Com o passar do tempo os bancos passaram a exigir alguns dados para confirmar operações e o criminoso se viu num mato sem cachorro. Então o que eles começaram a fazer? Investir esforços na obtenção de dados pessoais. Alguns criminosos viram oportunidade nisso e constroem sistemas gigantescos com um monte de bases de dados vazadas e vendem esses dados como um serviço pra outros criminosos.”
Claudio Martinelli, Diretor Geral da Kaspersky na América Latina: “É uma presunção muito grande alguém achar que não corre risco.”
E como se proteger?
A primeira dica é ter um pouco de senso crítico: ameaças como o BRATa, por exemplo, se espalham disfarçadas de “atualizadores” de apps populares como o WhatsApp ou CCleaner, aproveitando-se do fato de que muitos usuários não sabem que no Android os apps se atualizam automaticamente, sem precisar de uma ferramenta especial para isso.
Muitas vezes, o “gancho” para fisgar o usuário são correntes espalhadas via Facebook ou WhatsApp, alertando o usuário da necessidade “urgente” de uma atualização para não ficar sem acesso ao serviço, seguidas, claro, de um prático link direto para o malware. Às vezes as mensagens podem vir de um familiar ou amigo, que inocentemente as repassa “por via das dúvidas”.
Martinelli dá outras dicas, como nunca repetir senhas e usar um gerenciador, que pode criar senhas fortes para cada site que você visita armazenadas em um “cofre” protegido por uma senha mestre. Isso é especialmente importante numa época em que a quantidade de serviços que utilizamos aumenta exponencialmente, e a tentação de ter uma “senha única” para “facilitar as coisas” (e poupar sua memória) é grande.
Por fim, ele recomenda a seletividade: evite conectar-se a qualquer “Wi-Fi grátis” que aparece nas redondezas, ele pode ser uma armadilha para interceptar seus dados enquanto você navega. Vai fazer compras em um site no qual não confia? “use um endereço de e-mail temporário, que não te vincule à sua conta principal. Você não controla com que frequência esse site é atualizado, quais as medidas de segurança que ele usa, então é uma chance de você se anonimizar, se tornar diferente em cada serviço pra não deixar rastros”.
E, claro, coloque um antivírus no celular.
Rafael Rigues viajou a Puerto Iguazu a convite da Kaspersky