Hacker preso no ES com R$ 7,2 milhões e ouro é solto após pagar fiança

Manhattan nunca viu nada igual. Nas primeiras horas da manhã de 3 de fevereiro, policiais federais encostaram no prédio que tem o mesmo nome da ilha de Nova York, denominado "o primeiro empreendimento de Cachoeiro de Itapemirim com o estilo de hotel cinco estrelas", que conta com pub, quadra de squash e beauty center.

Ali no Manhattan Residence, localizado numa das regiões mais nobres de todo o Sul do Espírito Santo, agentes apreenderam a maior quantia em espécie da história da PF no combate a fraudes bancárias: R$ 7,2 milhões, separados em bolos de notas de R$ 100 e R$ 50. Também encontraram 1 kg de ouro em barras.

Sairia algemado dali um programador de 32 anos, que só se sabe que se chama Igor pela abordagem filmada num vídeo da ação policial que vazou na internet. Segundo apurou o jornal Folha de S.Paulo, ele foi solto após pagar uma fiança de R$ 110 mil.

De acordo com informações do jornal, Igor estava sob radar dos federais desde maio de 2015. Naquele mês, deu uma derrapada, por meio da qual a polícia conseguiu detectar o seu nome em transações virtuais criminosas, na Caixa Econômica Federal e no Banco do Brasil.

Para chegar até Igor, os policiais procuraram "bombas". "Havia surgido, na investigação, a possibilidade de ele estar importando anabolizantes para venda no Brasil, e precisaria de licença da Anvisa para isso", afirma o delegado regional de Combate ao Crime Organizado no Espírito Santo, Leonardo Rabello. Só por esse crime, se for condenado, ele pode pegar até 15 anos de prisão.

A Gazeta mostrou, no dia em que foi deflagrada pela Polícia Federal a Operação Creeper – nome dado em referência ao primeiro vírus identificado no Brasil –, que Igor é suspeito de encabeçar uma organização criminosa que capturava dados para invadir celulares e computadores e roubar dinheiro de contas bancárias das vítimas. A quadrilha atua pelo menos desde 2015.

De acordo com o delegado, o suspeito é um programador experiente e desenvolveu um malware (espécie de programa utilizado para ataques maliciosos a dispositivos eletrônicos, como um vírus) que era utilizado para phishing, que é um ataque comum, visando o roubo de informações pessoais.

"Existe uma suspeita de que tenha sido o primeiro hacker no Brasil a desenvolver um programa malicioso, o malware, para infectar smartphone e dar acesso remoto ao atacante", disse Rabello.

Isto é, por meio do vírus, o hacker se infiltrava no computador ou celular da vítima e conseguia o acesso a todas as informações disponíveis. De posse desses dados, ele acessava as contas bancárias dos usuários e fazia uma análise do dinheiro guardado a fim de decidir se valia a pena atacar.

Segundo a PF, Igor recrutava laranjas para aplicar os golpes. Ele próprio não colocava a mão na massa. Após a avaliação das contas, ele passava um relatório das contas para terceiros, que eram os responsáveis por efetivamente retirar o dinheiro, e enviá-lo para outras contas – frequentemente falsas e utilizadas apenas como intermediárias – antes que as quantias fossem redistribuídas.

A partir daí, o grupo responsável pela movimentação retinha uma parcela dos valores e a grande maioria retornava ao programador responsável pelo malware, em Cachoeiro.

As cédulas encontradas pelos policiais no apartamento do acusado são ninharia perto do que a PF desconfia que o esquema tenha movimentado. Boa parte do dinheiro fisgado de contas teria sido lavada com a compra de criptomoedas, bem mais difíceis de serem rastreadas do que uma transação financeira regular.

Segundo apurou a Folha, além disso, os malwares eram vendidos para outros grupos criminosos fazerem seus próprios esquemas. Essa prática, comum em outros países, vem ganhando adesão no Brasil nos últimos anos.

Igor Rincon, engenheiro de segurança, explica que as atividades dessas quadrilhas se dão em camadas. Primeiro, vem quem produz o malware. Depois, quem compra esses programas para operar o golpe. Por último, os laranjas que captam o dinheiro roubado. "Quanto mais em cima nessas camadas, mais difícil de detectar, porque a pessoa está menos exposta", diz.

Era o caso do Igor que foi preso. Ele tinha um perfil discreto e sem gastos extraordinários, de acordo com a PF. O apartamento do Manhattan Residence, por exemplo, era alugado e com quase nada de decoração. Uma unidade de três quartos custa menos do que R$ 500 mil, e o aluguel, menos de R$ 4.000.

Um padrão de vida de classe média alta, mas até modesto para um sujeito que movimentou, só ao longo de três meses de 2020, R$ 647 mil, segundo a PF.

Outras quatro pessoas são investigadas a partir de um relatório produzido na Divisão de Repressão a Crimes Cibernéticos, sediada em Brasília, mas só ele foi preso.

Para Fabio Assolini, pesquisador de cibersegurança da Kaspersky, empresa que atua nessa área, a prisão vem num momento em que ataques do tipo estão em alta. "Devido à pandemia, o acesso ao mobile banking explodiu. Na esteira, cresceu o interesse dos fraudadores para infectar o dispositivo de tal forma que ele consiga cometer uma fraude usando o celular."

O uso de um RAT (sigla em inglês para "ferramenta de acesso remoto") é o que permite aplicar o golpe sem levantar suspeita. "Isso é muito avançado", diz Assolini.

Normalmente, as vítimas são usuários de Android - os casos envolvendo iPhone são contra alvos extremamente específicos e custam milhões para executar.

A primeira parte é convencer o usuário a instalar o malware no dispositivo. Pode ser por um aplicativo falso na loja ou com o uso de mensagens enganosas (o phishing). Esse passo pode tomar várias formas e está sempre mudando. São iscas como promoções fictícias.

Uma vez com o aparelho infectado, o hacker acessa tudo e mais um pouco. Captura as mensagens SMS, conecta-se à câmera, tira print da tela e monitora em quais aplicativos a pessoa está mexendo para saber quando o do banco é aberto. Aí é só capturar as informações.

Como as operações são feitas pelo celular da própria vítima, remotamente, em geral não chama atenção da instituição financeira.

Assolini explica que golpistas já deram um jeito até de vencer a biometria (a confirmação por digital que aparece, por exemplo, na hora de transferir dinheiro). "O RAT tem uma função de deixar a tela escura. Você acha que ela está desligada. Quando vai checar algo no celular e coloca o dedo para desbloquear, na verdade, autoriza uma operação", diz.

O negócio funciona tão bem que tem sido exportado. Golpes como esses, aliando tecnologia e malandragem brasileiras, são vistos em outros países da América Latina, além de África e Europa.

Para se proteger, Assolini recomenda a instalação de antivírus no celular, assim como no PC, já que o smartphone é também um computador. Mesmo opções gratuitas ajudam a detectar as mensagens de phishing e aplicativos fraudulentos.

Outra medida é ativar todos os alertas que o serviço financeiro permite ter. Aí, quando houver algo suspeito, o usuário recebe uma mensagem. O especialista avisa, no entanto, que muitos criminosos já estão ligados nisso e podem desabilitar essas funções no app do banco antes de depenar uma conta bancária.