Com a proximidade da Copa do Mundo Rússia 2018, que se inicia
no próximo dia 14 de junho, os cibercriminosos
brasileiros não perdem a oportunidade de disseminar golpes
usando o tema do evento e, assim, atingir o maior número de vítimas possível.
O
alvo continua sendo usuários do WhatsApp,
mas desta vez, a campanha maliciosa promete como brinde uma camisa oficial da
Seleção Brasileira de Futebol, caso a mensagem seja compartilhada com até 30
amigos.
A mensagem chega até a vítima de 3 formas: encaminhada
por um amigo (que acreditou no golpe), por notificações maliciosas configuradas
no navegador (seja desktop ou mobile) ou por grupos em que os usuários
participam. Ao clicar no link, o usuário é direcionado para uma página,
hospedada na Rússia, coincidentemente o país a receber o próximo mundial.
Publicidade
A falsa promoção já é ativada quando o usuário
compartilha com três contatos, não sendo necessário compartilhar com 30
contatos.
O que acontece na sequência depende do sistema operacional que o
usuário possui no seu smartphone: se o sistema for iOS, após vários
redirecionamentos, será oferecido a instalação de aplicativos legítimos, mas
que participam de esquemas “pay-per-install”, em que o criminoso ganha por cada
instalação, inflando programas legítimos de apps e, assim ganhando dinheiro de
maneira forçada.
Já se o usuário possui o sistema Android – usado em 80% dos
smartphones brasileiros – será oferecida a instalação de um aplicativo
malicioso.
Para convencer o usuário, é exibida uma página falsa
informando que o dispositivo está infectado e que é necessário baixar e
instalar um app. O aplicativo malicioso oferecido na campanha utiliza
nomes randômicos, ou seja, a cada download terá um nome diferente.
O usuário,
ao instalá-lo, estará infectando seu smartphone Android com o Adware:AndroidOS.Dnotua,
que irá utilizar o dispositivo de forma maliciosa, exibindo propagandas de
forma agressiva, entre outras ações danosas.
Ligações
com o Leste Europeu
O mais interessante dessa campanha maliciosa é sua clara
ligação com o cibercrime do Leste Europeu, conhecido por desenvolver ataques
avançados e vender suas ferramentas de ataques e alugar sua infraestrutura para
grupos de cibercriminosos de outras partes do mundo.
Nesse caso o ataque está
utilizando domínios registrados e hospedados na Rússia, como o ru-promos.site,
que também já hospedou diversas campanhas maliciosas escritas em russo.
“A cooperação entre o cibercrime brasileiro e o do Leste
Europeu não é nova, já acontece há alguns anos. Os brasileiros são clientes
deles e, por lá, eles compram ferramentas de ataques e usam a infraestrutura
para disseminar os ataques.
As mensagens maliciosas dessa campanha se utilizam
de domínios brasileiros e russos, escritas em português nativo, porém
utilizando servidores de controle hospedados na Rússia”, afirma Fabio Assolini,
analista sênior de segurança da Kaspersky Lab no Brasil.
A campanha fraudulenta disseminada no WhatsApp, seus
domínios e aplicativos maliciosos são bloqueados por todos os produtos da
Kaspersky Lab. Se você foi vítima e instalou algum aplicativo, limpe seu
dispositivo instalando o Kaspersky Mobile Antivirus para Android, que é
gratuito.
DN
