Manhattan nunca viu nada igual. Nas primeiras horas da manhã de 3 de fevereiro, policiais federais encostaram no prédio homônimo à ilha novaiorquina, "o primeiro empreendimento de Cachoeiro com o estilo de hotel cinco estrelas", com pub, quadra de squash e beauty center.

Ali no Manhattan Residence, numa das vizinhanças mais nobres de Cachoeiro de Itapemirim, o município mais populoso do sul capixaba, agentes apreenderam a maior quantia em espécie da história da PF no combate a fraudes bancárias: R$ 7,2 milhões, separados em bolos de notas de R$ 100 e R$ 50. Também encontraram 1 kg de ouro em barras.

Sairia algemado dali um programador de 32 anos que só sabemos que se chama Igor, pela abordagem filmada num vídeo da ação policial que vazou na internet.

"Existe uma suspeita de que tenha sido o primeiro hacker no Brasil a desenvolver um programa malicioso, o malware, para infectar smartphone e dar acesso remoto ao atacante", diz à Folha o delegado Leonardo Rabello, delegado regional de Combate ao Crime Organizado no Espírito Santo.

Os vírus sempre foram uma ameaça à segurança cibernética, mas computadores eram o alvo mais vulnerável. Com o tempo, os problemas chegaram também aos celulares. Mirando os dispositivos móveis, uma quadrilha que teria Igor como cabeça é acusada de roubar milhões de reais por meio de fraudes em bancos diversos.

As cédulas encontradas pelos policiais no apartamento do acusado são ninharia perto do que a PF desconfia que o esquema tenha movimentado. Boa parte do dinheiro fisgado de contas teria sido lavada com a compra de criptomoedas, bem mais difíceis de serem rastreadas do que uma transação financeira regular.

Solto após pagar uma fiança de R$ 110 mil, Igor estava sob radar dos federais desde maio de 2015, de acordo com Rabello. Naquele mês, deu uma derrapada, por meio da qual a polícia conseguiu detectar o seu nome em transações virtuais criminosas, na Caixa Econômica Federal e no Banco do Brasil.

Na operação que o capturou, segundo a PF, Igor recrutava laranjas para aplicar os golpes. Ele próprio não colocava a mão na massa.

Além disso, os malwares eram vendidos para outros grupos criminosos fazerem seus próprios esquemas. Essa prática, comum em outros países, vem ganhando adesão no Brasil nos últimos anos.

Igor Rincon, engenheiro de segurança, explica que as atividades dessas quadrilhas se dão em camadas. Primeiro, vem quem produz o malware. Depois, quem compra esses programas para operar o golpe. Por último, os laranjas que captam o dinheiro roubado. "Quanto mais em cima nessas camadas, mais difícil de detectar, porque a pessoa está menos exposta", diz.

Era o caso do Igor que foi preso. Ele tinha um perfil discreto e sem gastos extraordinários, de acordo com a PF. O apartamento do Manhattan Residence, por exemplo, era alugado e com quase nada de decoração. Uma unidade de três quartos custa menos do que R$ 500 mil, e o aluguel, menos de R$ 4.000.

Um padrão de vida de classe média alta, mas até modesto para um sujeito que movimentou, só ao longo de três meses de 2020, R$ 647 mil, segundo a PF.

Outras quatro pessoas são investigadas a partir de um relatório produzido na Divisão de Repressão a Crimes Cibernéticos, sediada em Brasília, mas só ele foi preso.

Para chegar até Igor, os policiais procuraram "bomba". "Havia surgido, na investigação, a possibilidade de ele estar importando anabolizantes para venda no Brasil, e precisaria de licença da Anvisa para isso", afirma o delegado Rabello.

Não tinha, como também não havia muque que justificasse o tanto desses suplementos que os agentes acharam em sua casa. Só por esse crime, se condenado for, ele pode pegar até 15 anos de prisão.

O nome da operação que o prendeu, contudo, não deixa dúvidas sobre o escopo: Creeper, como o primeiro vírus de computador que se tem notícia, criado em 1971 e batizado com o nome do vilão-zumbi do desenho "Scooby-Doo".

Para Fabio Assolini, pesquisador de cibersegurança da Kaspersky, empresa que atua nessa área, a prisão vem num momento em que ataques do tipo estão em alta. "Devido à pandemia, o acesso ao mobile banking explodiu. Na esteira, cresceu o interesse dos fraudadores para infectar o dispositivo de tal forma que ele consiga cometer uma fraude usando o celular."

O uso de um RAT (sigla em inglês para "ferramenta de acesso remoto") é o que permite aplicar o golpe sem levantar suspeita. "Isso é muito avançado", diz Assolini.

Normalmente, as vítimas são usuários de Android –os casos envolvendo iPhone são contra alvos extremamente específicos e custam milhões para executar.

A primeira parte é convencer o usuário a instalar o malware no dispositivo. Pode ser por um aplicativo falso na loja ou com o uso de mensagens enganosas (o phishing). Esse passo pode tomar várias formas e está sempre mudando. São iscas como promoções fictícias.

Uma vez com o aparelho infectado, o hacker acessa tudo e mais um pouco. Captura as mensagens SMS, conecta-se à câmera, tira print da tela e monitora em quais aplicativos a pessoa está mexendo para saber quando o do banco é aberto. Aí é só capturar as informações.

Como as operações são feitas pelo celular da própria vítima, remotamente, em geral não chama atenção da instituição financeira.

Assolini explica que golpistas já deram um jeito até de vencer a biometria (a confirmação por digital que aparece, por exemplo, na hora de transferir dinheiro). "O RAT tem uma função de deixar a tela escura. Você acha que ela está desligada. Quando vai checar algo no celular e coloca o dedo para desbloquear, na verdade, autoriza uma operação", diz.

O negócio funciona tão bem que tem sido exportado. Golpes como esses, aliando tecnologia e malandragem brasileiras, são vistos em outros países da América Latina, além de África e Europa.

Para se proteger, Assolini recomenda a instalação de antivírus no celular, assim como no PC, já que o smartphone é também um computador. Mesmo opções gratuitas ajudam a detectar as mensagens de phishing e aplicativos fraudulentos.

Outra medida é ativar todos os alertas que o serviço financeiro permite ter. Aí, quando houver algo suspeito, o usuário recebe uma mensagem. O especialista avisa, no entanto, que muitos criminosos já estão ligados nisso e podem desabilitar essas funções no app do banco antes de depenar uma conta bancária.

A PF não sabe dimensionar quantas pessoas podem ter sido vítimas da quadrilha supostamente encabeçada pelo morador de Cachoeiro, mais famosa por ser a cidade natal de Roberto Carlos.