O grupo de Análise e Respostas a Incidentes de Segurança da Linha Defensiva (ARIS-LD) encontrou um vírus brasileiro que rouba senhas bancárias, um Banker, como a família de pragas nacional é conhecida. Não há nada de novo isso – acontece todos os dias. Mas esse tinha algo em especial: ele incluía um programa — 100% funcional — de desinstalação.
Grande parte dos programas instalados no computador provém de arquivos de instalação. É uma facilidade para o desenvolvedor do software distribuir sua criação. Eles permitem a inclusão dos arquivos do programa em uma pasta própria (normalmente na pasta Arquivos de Programas, ou Program Files, na partição padrão), além de inserir informações no registro do Windows para funcionar adequadamente. Esses programas são chamados de instaladores e criem a famosa interface com os botões “Voltar”, “Avançar” (Next), entre outros. Normalmente, porém, os vírus se instalam de forma que o usuário não perceba, baixando outros arquivos da internet silenciosamente.
Fugindo da forma convencional de infecção, o código malicioso encontrado pela Linha Defensiva é um arquivo de instalação, indicando o usuário que um suposto componente de segurança será instalado no computador.
O arquivo original se chama VivoTorpedo.exe, que se identifica como sendo o “G-Buster Browser Defense – Banco Itau S.A.”, em alusão ao programa G-Buster da GAS Tecnologia, utilizado – legitimamente – por diversas instituições bancárias no Brasil. O programa de instalação foi criado com o Inno Setup, que possibilita a inclusão de telas para que o usuário confirme a instalação, tal como a opção para que o usuário aceite os termos do suposto contrato.
Como todo bom instalador, o vírus adiciona uma entrada para que o suposto programa possa ser removido, através da opção “Adicionar e Remover Programas” do Painel de Controle do Windows.
A praga digital solicita que vítima forneça informações bancárias e impede o fechamento da janela. As informações capturadas eram enviadas para um servidor remoto, que se encontra off-line. Porém, um dos endereços utilizados pelo malware para receber as informações do iToken (que gera um número aleatório que só pode ser utilizado por um certo intervalo de tempo) ainda se encontra disponível. O ARIS-LD já informou o provedor responsável.
