Ferramentas criadas no país são comercializadas para criminosos no exterior burlarem sistemas de segurança em mais de 90 países Valdemar Latance, coordenador-geral de combate a crimes cibernéticos da PF — Foto: divulgação/ PF O Brasil se tornou um dos principais polos mundiais de desenvolvimento e exportação de crimes digitais contra o sistema financeiro. O que começou como uma atividade concentrada no mercado doméstico hoje atinge usuários e instituições em mais de 90 países. "O Brasil é um dos países que mais sofre e também que produz ataques cibernéticos no mundo", afirma Fabio Assolini, pesquisador líder de segurança da Kaspersky. Um dos fatores que colaboraram para essa internacionalização foi a evolução dos criminosos brasileiros em resposta ao aperfeiçoamento da segurança do sistema bancário nacional. O professor Altair Santin, professor do curso de Cibersegurança e do Programa de Pós-Graduação em Informática da PUC-PR, descreve esse movimento como uma corrida tecnológica, na qual "os sistemas de defesa, de controle, se sofisticam para dificultar o crime e o crime se sofistica para se tomar vantagem disso", formando "grupos de elite em defesa e em ataques". O principal produto desse movimento são os trojans bancários, com destaque para a família Grandoreiro. O malware infecta computadores através de campanhas massivas de phishing e spam. Ele permite aos grupos criminosos roubar credenciais de login, monitorar atividades e realizar transferências fraudulentas diretamente das contas das vítimas. "O Grandoreiro ataca em mais de 90 países. A lista de bancos cujas contas podem ser atacadas é assustadora, já são mais de 900", diz Assolini. A expansão desses ataques é viabilizada pelo modelo de Malware as a Service (MaaS), em que desenvolvedores comercializam a infraestrutura tecnológica para outros criminosos. "Você pode comprar serviços como Malware as a Service, mensal, anual. E o desenvolvedor recebe sempre uma fatia daquele golpe", afirma João Netto, diretor de tecnologia da ACTAR Peers Group. Nesse modelo de atuação, grupos brasileiros fornecem a tecnologia, enquanto parceiros locais adaptam a fraude às características de cada país. "As quadrilhas daqui que oferecem essa estrutura tecnológica dão o aparato para alguém montar uma campanha de phishing direcionada para uma determinada instituição, dando a cara, a roupagem e a forma de abordagem comunicacional", explica Hesron Hori, sócio e diretor de Risk Assessment da Under Protection. Na avaliação de Assolini, a ascensão brasileira também foi favorecida por uma mudança estratégica dos grupos do leste europeu, que dominavam o mercado de trojans bancários, mas passaram a concentrar esforços em ataques de ransomware, considerados mais lucrativos. "Ficou um vácuo no mercado global de fornecedores de trojan bancário. Quem entrou para oferecer ferramentas para essa demanda? Os brasileiros", afirma. Além do Grandoreiro, outras tecnologias desenvolvidas por grupos brasileiros ganharam projeção internacional. Entre elas está o Prilex, malware voltado ao comprometimento de maquininhas de cartão. Segundo Assolini, "o Prilex consegue bloquear o pagamento por aproximação. Ele bloqueia e força você a inserir o cartão na máquina. Isso facilita o trabalho dele coletar o dado do seu cartão". As duas principais operações da Polícia Federal contra grupos brasileiros que atuam no exterior foram deflagradas em 2024. Na Operação Redescobrimento, realizada em parceria com a polícia portuguesa, a investigação identificou uma organização que montou uma estrutura no Brasil para aplicar golpes em vítimas de Portugal e chegou a recrutar portugueses para fazer as ligações telefônicas, explorando o sotaque local. Segundo Valdemar Latance, coordenador-geral de combate a crimes cibernéticos da PF, a investigação mostrou que "os portugueses não estavam preparados, não estavam vacinados ainda para o que estava acontecendo", o que facilitou a atuação dos criminosos brasileiros. No mesmo ano, a PF conduziu, ao lado da polícia espanhola, a Operação Grandoreiro, voltada ao desmantelamento de um grupo que utilizava uma versão do malware desenvolvida no Brasil para atacar clientes de um banco na Espanha. Para Latance, o caso simbolizou uma nova fase da atuação dessas quadrilhas. "Veja, é um malware feito aqui no Brasil vitimando pessoas na Espanha, rompendo a barreira da língua", afirmou.