ESET descobre Amavaldo: Trojan bancário destinado ao Brasil e ao México

Nova investigação da empresa identificou pelo menos 10 ameaças bancárias ativas direcionadas à América Latina

Os pesquisadores da ESET, empresa líder em detecção proativa de ameaças, identificaram diferentes famílias de Trojans bancários que visam atingir especificamente a América Latina.

A ESET encontrou mais de dez novas famílias de malware destinadas a países de língua espanhola ou portuguesa.

Ao contrário da maioria dos Trojans bancários, os da América Latina usam a engenharia social para alcançar o usuário. Eles detectam continuamente janelas ativas no computador da vítima e, se encontrarem uma relacionada a um banco, iniciam um ataque.

A atualização do aplicativo bancário utilizado pela vítima pode estar vinculada ou à verificação das informações de um cartão de crédito e às credenciais de acesso à conta bancária.

Dessa forma, uma falsa janela pop-up é usada para roubar esses dados assim que a vítima a acessa ou quando utiliza um teclado virtual que funciona como um keylogger. Por fim, as informações confidenciais são enviadas ao invasor, que as utiliza da maneira que julgar mais conveniente.

Janela pop-up falsa de um dos bancos usados pelo invasor, que tenta roubar um código de autorização

Teclado virtual com um keylogger fingindo ser um banco no Brasil

Nas famílias de malware recentemente descobertas, o Amavaldo está ativo no Brasil e no México, e tem o objetivo de atingir aplicativos bancários. A versão mais recente observada pela ESET tem uma data de compilação de 10 de junho de 2019.

É caracterizada pelo uso de um esquema de criptografia personalizado usado para ofuscação de sequências de caracteres. Uma vez infiltrado, ele recebe comandos do cibercriminoso para expandir seus recursos maliciosos, incluindo:

• Capturar fotos da vítima por meio da webcam
• Registrar o texto inserido pelo teclado
• Baixar e executar outros programas
• Restringir o acesso a vários sites bancários
• Simular de teclado e mouse
• Fazer atualizações automáticas

Além disso, o Amavaldo usa uma técnica de ataque sofisticada: uma vez que detecta o uso de um app relacionado a um banco, ele realiza uma captura de tela da área de trabalho e faz com que o usuário visualize o novo papel de parede. Em seguida, ele exibe uma janela pop-up falsa que é escolhida com base no texto da janela ativa, enquanto desabilita vários atalhos de teclado e impede que a vítima interaja com outra coisa que não seja a janela pop-up.

Os pesquisadores do laboratório ESET acreditam que os arquivos maliciosos usados para infectar o dispositivo da vítima são propagados por meio de uma campanha de e-mail indesejada, com arquivos disfarçados como arquivos PDF legítimos.

“Quando encontramos pela primeira vez essa família de malware, apenas bancos brasileiros tinham sido afetados, mas, a partir de abril de 2019, o alcance chegou aos bancos no México. Embora os bancos-alvo no Brasil ainda tenham a presença do malware, de acordo com nossas análises, os criminosos por trás dessa ameaça estão atualmente se concentrando particularmente no México. Até o momento, foram identificadas mais de 20 entidades financeiras usadas pelos invasores para enganar os usuários”, diz Camilo Gutierrez, chefe do Laboratório de Pesquisa da ESET América Latina.

As novas famílias de Trojans bancários descobertos compartilham um conjunto de características comuns: são escritas na linguagem de programação Delphi, contêm funcionalidade backdoor, abusam de ferramentas e softwares legítimos e destinam-se a países de língua espanhola ou portuguesa.

“Em geral, os Trojans bancários são distribuídos por meio de um downloader (arquivo executável do Windows) que finge ser um instalador de software legítimo. Neste caso, uma cadeia de múltiplos estágios é usada, usando várias camadas de downloaders, nos quais a carga final é entregue por meio de um arquivo zip contendo o Trojan bancário. Embora seja muito difícil para os pesquisadores chegarem ao fim da cadeia e analisarem a carga útil final, também é mais fácil para uma solução antivírus impedir a ameaça, porque ela só precisa quebrar um link na cadeia”, conclui Gutierrez.

No dia 28 de agosto, a ESET realizará um webinar sobre esta nova família de malware.
Para saber mais sobre segurança cibernética, entre no portal de notícias da ESET:

ESET mostra países mais afetados por ransomware na América Latina

Sobre a ESET

Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a usar tecnologia com segurança. Seu portfólio de soluções oferece às empresas e aos consumidores em todo o mundo um equilíbrio perfeito de desempenho e proteção proativa. A empresa possui uma rede global de vendas que abrange 180 países e tem escritórios em Bratislava, São Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo. Para mais informações, visite www.eset.com.br/ ou nos siga no LinkedIn, Facebook e Twitter.

Desde 2004, a ESET opera na América Latina, onde conta com uma equipe de profissionais capacitados a responder às demandas do mercado local de forma rápida e eficiente, a partir de um Laboratório de Pesquisa focado na investigação e descoberta proativa de várias ameaças virtuais.
Copyright © 1992–2019 ESET. Todos os direitos reservados. ESET e NOD32 são marcas registradas da ESET. Outros nomes são marca registrada de suas respectivas empresas.