TrendMicros Pesquisadores opdagede i april 2026 en sofistikeret malware-kampagne udviklet af brasilianere mod landets finansielle institutioner. Banktrojaneren kaldet Banana RAT blev sporet under koden SHADOW-WATER-063 og er specifikt rettet mod 16 nationale banker og kryptovalutabørser ved hjælp af avancerede realtidsinfektions- og svindelteknikker.
Analysen afslørede en kompleks arkitektur, der begynder med en ondsindet fil forklædt som et elektronisk skattedokument distribueret via WhatsApp og phishing-links. Operatører retter sig især mod virksomhedsbrugere, der er fortrolige med det brasilianske elektroniske faktureringssystem, og bruger navne som “Consultar_NF-e.bat” til at camouflere truslen.
Cadeia seks-trins infektion
Infektionsprocessen følger et velstruktureret flow. Quando offeret udfører .bat-filen, en skjult PowerShell-kommando affyres med det samme. Esse-kommandoen downloader et andet trin kaldet “msedge.txt” fra en fjernserver, og holder al koden kørende i systemets flygtige hukommelse (RAM) uden at røre lageret i en ukrypteret form.
Infrastrukturen, der vedligeholdes af operatører, er sofistikeret. Utilizam-baserede FastAPI-servere med ni lag af sløring i hver nyttelast. Systemet opretholder en pulje på 100 til 200 unikke prægenererede builds, og hver anmodning fra et offer bruger en anden fil.
Isso betyder, at hver download har en unik hash. Técnicas traditionel signaturdetektion fejler fuldstændig denne strategi. Durante-analyse fandt forskere fire parallelle tråde, der konstant genererer nye nyttelaster for at holde puljen fuld, hvilket sikrer, at signaturbaserede antivirusser ikke kan identificere truslen.
Controle fuld fjernbetjening og svindel i realtid
Når den er aktiv, leverer Banana RAT fuld fjernadgang. Operatøren er i stand til at transmittere offerets skærm i realtid via JPEG-streaming, hvor optagelserne fungerer med flere skærme og respekterer opløsningsindstillinger. Malwaren injicerer muse- og tastaturkontroller gennem Win32 API’er, hvilket giver operatøren mulighed for at fastfryse ofrets input ved hjælp af BlockInput-funktionen, mens maskinen fjernbetjent.
En keylogger baseret på GetAsyncKeyState fanger alle tastetryk i en cirkulær buffer på 2 tusinde poster. Todas-kommunikation mellem klient og server bruger AES-256-CBC-kryptering, hvor nøglen stammer fra en fast hovednøgle via SHA-256. Angriberens serveranalysepanel viser downloads sporet efter land, tid og operativsystem – al optaget adgang kom fra Brasil.
Den vigtigste fidusteknik bruger fuldskærmsoverlejring. Quando offeret åbner bankwebstedet, viser malwaren en falsk sikkerhedsopdateringsmeddelelse, der siger “Segurança opdatering påkrævet. SLUK IKKE DIN COMPUTER”. Den falske skærm viser fremskridtsanimation med fire simulerede trin, mens operatøren udfører uautoriserede overførsler i den rigtige banksession, der kører i baggrunden.
Subsistema dedikeret til Pix og QR-kodeaflytning
Malwaren implementerer et specifikt undersystem til Pix ved at bruge ZXing.NET-biblioteket til at detektere og afkode QR-koder på skærmen. Quando offeret forsøger at betale en regning via QR, malwaren erstatter kodedataene. Pengene går direkte til de kriminelles konti. Essa-funktionalitet eksisterer udelukkende for det brasilianske marked, da målet er Pix-teknologien, som ikke findes i andre lande.
Forskerne fandt en hårdkodet liste med 16 mål direkte i frontend-kildekoden. Todos er brasilianske finansielle institutioner eller cryptocurrency-børser placeret til det nationale marked:
- Itaú
- Bradesco
- Santander Brasil
- Caixa
- Banco fra Brasil
- Safra
- Banrisul
- Daycoval
- Sicoob
- Sicredi
Assinatura teknik og løbende udvikling
Infrastrukturanalyse afslørede konsistente fingeraftryk. Polymorfimotoren stempler hver nyttelast med overskriften “PROTECTED SCRIPT v4.0. Projeto Banana (MSEDGE EDITION)”. Udgavekvalifikationen og versionsnummeret foreslår en produktlinje, der konstant bliver opdateret af udviklere.
Banana RAT deler funktioner med Tetrade-familien af brasilianske banktrojanere, såsom Grandoreiro, Mekotio, Casbaneiro og CHAVECLOAK. Bankoverlejringen i fuld skærm er den definerende adfærd for denne malware-familie. Men arkitektoniske forskelle adskiller den fra resten: Banana RAT er en PowerShell-klient orkestreret af Python-serveren, mens de andre medlemmer af Tetrade-familien følger forskellige standarder.
Além Ydermere overstiger polymorfisystemet pr. offer det, der er dokumenteret for andre familiemedlemmer. Infrastrukturen overlapper heller ikke med offentliggjorte indikatorer for Grandoreiro på analysetidspunktet, hvilket tyder på, at operatører brugte nye unddragelsesteknikker, som ikke tidligere er dokumenteret af sikkerhedssamfundet.
Federação Brasileira af Bancos har allerede modtaget efterretninger delt af TrendMicro for at beskytte institutioner og kunder mod denne voksende trussel.