Spyware: Brasil está entre os países mais afetados por essa ameaça silenciosa

O Spyware é um software espião que costuma ser instalado no celular ou no computador sem o consentimento do usuário. Na América Latina, Brasil é o país com o maior número de detecções da ameaça.

 

Geralmente, quando perguntamos aos participantes de uma palestra ou treinamento quais códigos maliciosos eles conhecem e quais consideram os mais perigosos, o primeiro destacado é quase sempre o Ransomware. Isso faz sentido se pensarmos que esse código malicioso é um dos que mais chama a atenção (mensagens de resgate e bloqueios de tela).

No entanto, a grande maioria das ameaças de computador são sigilosas e tentam permanecer escondidas no sistema enquanto roubam informações, mineram criptomoedas, usam recursos do usuário ou simplesmente esperam por comandos do C&C do atacante. Este é o caso do spyware, uma variedade de malware sigiloso usado por um atacante para monitorar o computador de uma vítima sem o seu consentimento. Neste sentido, esse tipo de ameaça é projetada principalmente para a recuperação remota de senhas e outras informações confidenciais dos computadores de suas vítimas, e pode ser classificado em quatro tipos diferentes: adware, monitores de sistema, cookies de rastreamento e trojans.

Nos últimos 12 meses detectamos uma grande quantidade de spyware em países da América Latina, principalmente no Brasil, México e Peru, seguidos em menor proporção por Argentina e Colômbia. Embora muitas dessas detecções sejam de famílias de spyware genéricas ou estejam se espalhando pelo mundo, outras são códigos maliciosos direcionados a países da América Latina.

Imagem 1: Distribuição de spyware por país de setembro de 2018 a setembro de 2019.

Emotet: uma ameaça que continua ativa

O primeiro é o caso do trojan Emotet, um malware muito poderoso que temos visto na América Latina desde 2015 e que detectamos com a assinatura Win32/Emotet. Este código malicioso, que evoluiu nos últimos anos, tem como principal objetivo o roubo de credenciais bancárias e de dados financeiros, embora tenha incluído outros recursos nas suas últimas versões, tais como propagação na rede, coleta de informações sensíveis, encaminhamento de portas, entre outros.

Outra característica do Emotet é o uso de e-mails e Engenharia Social para sua propagação, fazendo-se passar por empresas conhecidas e também aproveitando promoções especiais como a Black Friday. Em todos esses casos, o usuário recebe um e-mail com um arquivo anexo, que usa macros e código incorporado no documento para baixar o spyware de um servidor da Internet. Se levarmos em conta que o macro malware dobrou nos últimos anos no México, não é surpreendente que este seja o país com o maior número de detecções do Emotet no ano passado. Em seguida, Equador, Colômbia e Argentina em percentagens semelhantes.

Imagem 2: Detecções do Emotet por país de setembro de 2018 a setembro de 2019.

Embora a maior porcentagem de detecções dessa ameaça tenha ocorrido no final de 2018, recentemente foi detectada uma nova onda de atividade do Emotec usando novos métodos para esconder seus macros nos e-mails recebidos. Em países como o Chile, a Computer Security Incident Response Team (CSIRT) do país alertou sobre uma recente campanha de phishing tentando propagar a ameaça. Além disso, também foi possível verificar que outros países fora da América Latina, como a Espanha, detectaram uma grande atividade de trojans nas últimas semanas.

Imagem 3: Evolução das detecções do Emotet no último ano.

Mekotio: um trojan bancário que afeta principalmente o Chile

Por outro lado, temos outro trojan bancário conhecido como Mekotio, que se concentra principalmente no Chile com mais de 70% das detecções na região, seguido pelo Brasil com 24%.

Imagem 4: Detecções do Mekotium por país de setembro de 2018 a setembro de 2019.

Este trojan espião é caracterizado por se fazer passar por empresas de serviços por e-mail contendo um link para baixar uma suposta fatura, que na verdade baixa um arquivo .zip contendo o trojan. O interessante desta ameaça é que ela é totalmente dirigida aos usuários chilenos, já que está geolocalizada e o link de download só funciona a partir de endereços IP do Chile.

Embora a maior atividade desta ameaça tenha sido detectada em agosto do ano passado, nos chamou a atenção o seu reaparecimento nos últimos meses de 2019 com novas campanhas de Engenharia Social através de e-mails, como a recente campanha, novamente direcionada a usuários no Chile, na qual a ameaça foi propagada através de e-mails que se fazem passar por empresas de serviços.

Imagem 5: Evolução das detecções do Mekotium no último ano.

Continuando com outras ameaças de características semelhantes, encontramos o Amavaldo, um código malicioso destinado a roubar credenciais bancárias e dados financeiros de usuários no Brasil e no México. Para infectar suas vítimas, Amavaldo usa um único downloader, que consiste em um arquivo executável do Windows que muitas vezes finge ser o instalador de software legítimo. Além disso, utiliza técnicas de Engenharia Social com o intuito de levar a vítima a tomar uma ação relacionada com o seu banco, como, por exemplo, a verificação dos dados do cartão de crédito. Além disso, a ameaça monitora as janelas ativas no computador da vítima e, caso detecte uma janela relacionada a um banco, o malware entra em ação exibindo uma janela pop-up falsa que se faz passar pelo banco para, por exemplo, roubar dados privados da vítima.

Como outros códigos de espionagem, as últimas versões do Amavaldo suportam recursos como captura de tela, captura de fotos através de webcam, keylogger, execução de código e assim por diante.

Figura 6: Detecções do Amavaldo por país de Janeiro de 2019 a Setembro de 2019.

Esta ameaça relativamente nova tornou-se popular no início deste ano e hoje continuamos vendo um grande número de detecções no Brasil.

Imagem 7: Evolução das detecções do Amavaldo no último ano.

Embora estas sejam algumas das famílias mais comuns de códigos maliciosos de espionagem encontrados na América Latina, a lista é muito mais longa. De janeiro a agosto de 2019, detectamos mais de 1970 variantes de spyware em países da região, pertencentes a mais de 35 famílias diferentes de malware.

Por outro lado, mais de 80% das variantes destes códigos maliciosos são desenvolvidas para a plataforma Windows, o que faz sentido se considerarmos que os métodos de propagação mais utilizados para estes tipos de ameaças são os e-mails e os aplicativos piratas. No entanto, não devemos perder de vista os dispositivos móveis, uma vez que o spyware também pode ser encontrado nestas plataformas, mesmo nas lojas oficiais.

Imagem 8: Variantes de spyware por plataforma de janeiro a agosto de 2019.

Para evitar a ameaça, sugerimos sempre contar com ferramentas de segurança abrangentes, dispositivos e software atualizados.