De acordo com um pesquisador em segurança da Kaspersky Lab, uma nova variante do malware SpyEye permite que cibercriminosos se apossem de câmeras e microfones dos computadores pessoais de vítimas em potencial, para cometer fraudes bancárias. O SpyEye é um Cavalo de Tróia que atinge, especificamente, usuários de internet banking. Assim como seu primo mais velho, Zeus, o SpyEye não é mais desenvolvido por seu criador original, mas ainda é amplamente utilizado por cibercriminosos em operações.
A estrutura-base do SpyEye permite que uma parte do malware seja modificado e utilizado pelos invasores nos ataques. Implementado por um plug-in chamado "flashcontrol.dll", as câmeras e microfones passam a atuar como "espiões". Como sugere o nome (SpyEye significa Olho Espião), o malware acessa câmera e microfone por meio do Flash Player, o qual possui controles de funcionalidade desses dois periféricos.
Em circunstâncias normais, o plug-in do Flash Player solicita permissão ao usuário para acessar a câmera e o microfone - e a permissão é dada manualmente. Já com o SpyEye, o plug-in modifica silenciosamente os arquivos de configuração do Flash e cria uma lista de permissão para os bancos online.
A princípio, pesquisadores da Kaspersky pensaram que o malware fosse parte de um esquema para acessar sistemas com reconhecimento facial, utilizado em alguns bancos para autenticação segura. Depois descobriu-se - analisando um componente do SpyEye - que o malware "sequestra" a câmera e o microfone a fim de roubar informações importantes do cliente.
Alguns bancos solicitam que as transações sejam autenticadas digitando um código secreto enviado para o celular do cliente ou por token. Os cibercriminosos necessitam desses códigos para roubar o dinheiro das vítimas, então eles utilizam truques para expô-los. Em outros casos, o banco irá ligar para os usuários, a fim de autorizar a transação. Durante essas conversas, os clientes podem divulgar informações pessoais sobre as contas, com a finalidade de autenticar sua identidade. Estas informações podem incluir o nome de solteira da mãe, a data de nascimento, o número do cartão de crédito e da Segurança Social, número de identificação pessoal por telefone - que é utilizado para autenticar operações bancárias pelo telefone.
"Usando um microfone, o cibercriminoso pode ouvir a conversa com o atendente e, mais tarde, ligar para o banco, se passando pelo cliente e dando o código", disse o especialista em malware Dmitry Tarakanov, da Kaspersky Lab. "Com esse código, torna-se possível atualizar os dados de telefone e login, assumindo o controle total da conta da vítima."
Além disso, os cibercriminos utilizam-se de uma técnica para manipular páginas e podem enviar mensagens às vítimas informando sobre a fraude, com o intuito de que elas liguem para o banco por si mesmas e passem as informações sigilosas. Segundo Tarakanov, as câmeras também são utilizadas pelos cibercriminosos para monitoramento das vítimas nesses casos. Visualizando o modo como elas reagem ao "truque", os invasores descobrem se suas táticas são efetivas, ou para entenderem o que fizeram de errado e aperfeiçoarem o golpe.
Para se proteger contra ataques, os usuários podem optar por cobrir as câmeras de vídeo enquanto estão fora de uso. Mas nada pode se fazer quanto ao microfone. Outra alternativa é desativar esses periféricos a partir do Sistema Operacional, manualmente ou com a ajuda de um software especializado. Mas se eles são frequentemente utilizados, não é conveniente fazê-lo.
A melhor forma de prevenção ainda é - em primeiro lugar - seguir práticas de segurança básica, como manter todos os programas atualizados, executar updates do antivírus, analisar links antes de clicá-los e evitar a instalação de programas a partir de fontes suspeitas.