Pesquisadores dari TrendMicro pada bulan April 2026 menemukan kampanye malware canggih yang dikembangkan oleh orang Brasil untuk menyerang lembaga keuangan negara tersebut. Trojan perbankan yang disebut Banana RAT dilacak dengan kode SHADOW-WATER-063 dan secara khusus menargetkan 16 bank nasional dan bursa mata uang kripto menggunakan teknik infeksi dan penipuan real-time yang canggih.
Analisis tersebut mengungkapkan arsitektur kompleks yang dimulai dengan file berbahaya yang menyamar sebagai dokumen pajak elektronik yang didistribusikan melalui WhatsApp dan tautan phishing. Operator khususnya menargetkan pengguna korporat yang akrab dengan sistem faktur elektronik Brasil, menggunakan nama seperti “Consultar_NF-e.bat” untuk menyamarkan ancaman tersebut.
Infeksi enam langkah Cadeia
Proses infeksi mengikuti alur yang terstruktur dengan baik. Quando korban mengeksekusi file .bat, perintah PowerShell yang tersembunyi segera diaktifkan. Perintah Esse mengunduh langkah kedua yang disebut “msedge.txt” dari server jarak jauh, menjaga semua kode tetap berjalan di memori volatil (RAM) sistem tanpa menyentuh penyimpanan dalam bentuk tidak terenkripsi.
Infrastruktur yang dikelola oleh operator sangat canggih. Server FastAPI berbasis Utilizam dengan sembilan lapisan kebingungan di setiap payload. Sistem memelihara kumpulan 100 hingga 200 build unik yang telah dibuat sebelumnya, dan setiap permintaan dari korban menggunakan file berbeda.
Isso berarti setiap unduhan memiliki hash unik. Deteksi tanda tangan tradisional Técnicas sepenuhnya gagal dalam strategi ini. Analisis Durante, peneliti menemukan empat thread paralel terus-menerus menghasilkan muatan baru untuk menjaga agar pool tetap penuh, memastikan bahwa antivirus berbasis tanda tangan tidak dapat mengidentifikasi ancaman.
Controle penipuan jarak jauh dan real-time penuh
Setelah aktif, Banana RAT memberikan kemampuan akses jarak jauh penuh. Operator dapat mengirimkan layar korban secara real time melalui streaming JPEG, dengan pengambilan gambar bekerja dengan banyak monitor dan menghormati pengaturan resolusi. Malware ini menyuntikkan kontrol mouse dan keyboard melalui API Win32, memungkinkan operator membekukan input korban menggunakan fungsi BlockInput saat mengoperasikan mesin dari jarak jauh.
Keylogger berdasarkan GetAsyncKeyState menangkap semua penekanan tombol dalam buffer melingkar yang terdiri dari 2 ribu entri. Komunikasi Todas antara klien dan server menggunakan enkripsi AES-256-CBC, dengan kunci yang berasal dari kunci master tetap melalui SHA-256. Panel analisis server penyerang menunjukkan unduhan yang dilacak berdasarkan negara, waktu dan sistem operasi — semua akses yang tercatat berasal dari Brasil.
Teknik penipuan utama menggunakan overlay layar penuh. Quando korban membuka situs perbankan, malware menampilkan pesan pembaruan keamanan palsu yang mengatakan “Pembaruan Segurança diperlukan. JANGAN MATIKAN KOMPUTER ANDA”. Layar palsu menampilkan animasi kemajuan dengan empat langkah simulasi sementara operator melakukan transfer tidak sah dalam sesi perbankan sebenarnya yang berjalan di latar belakang.
Subsistema didedikasikan untuk Pix dan intersepsi kode QR
Malware ini mengimplementasikan subsistem khusus untuk Pix, menggunakan perpustakaan ZXing.NET untuk mendeteksi dan mendekode kode QR di layar. Quando korban mencoba membayar tagihan melalui QR, malware menggantikan data kode. Uangnya langsung masuk ke rekening pelaku. Fungsionalitas Essa ada secara eksklusif untuk pasar Brasil, karena targetnya adalah teknologi Pix, yang tidak tersedia di negara lain.
Para peneliti menemukan daftar 16 target yang dikodekan langsung di kode sumber frontend. Todos adalah lembaga keuangan Brasil atau bursa mata uang kripto yang berlokasi untuk pasar nasional:
- Itaú
- Bradesco
- Santander Brasil
- Caixa
- Banco dari Brasil
- Safra
- Banrisul
- Daycoval
- Sicoob
- Sicredi
Teknik Assinatura dan pengembangan berkelanjutan
Analisis infrastruktur menunjukkan sidik jari yang konsisten. Mesin polimorfisme mencap setiap muatan dengan header “PROTECTED SCRIPT v4.0.Projeto Banana (MSEDGE EDITION)”. Kualifikasi edisi dan nomor versi menunjukkan lini produk yang terus diperbarui oleh pengembang.
Banana RAT berbagi kemampuan dengan keluarga trojan perbankan Brasil Tetrade, seperti Grandoreiro, Mekotio, Casbaneiro, dan CHAVECLOAK. Hamparan perbankan layar penuh adalah ciri khas dari keluarga malware ini. Namun perbedaan arsitektur membedakannya dari yang lain: Banana RAT adalah klien PowerShell yang diatur oleh server Python, sedangkan anggota keluarga Tetrade lainnya mengikuti standar yang berbeda.
Além Selain itu, sistem polimorfisme per korban melebihi yang didokumentasikan untuk anggota keluarga lainnya. Infrastruktur juga tidak tumpang tindih dengan indikator Grandoreiro yang dipublikasikan pada saat analisis, sehingga menunjukkan bahwa operator menggunakan teknik penghindaran baru yang sebelumnya tidak didokumentasikan oleh komunitas keamanan.
Federação Brasileira dari Bancos telah menerima intelijen yang dibagikan oleh TrendMicro untuk melindungi institusi dan pelanggan dari ancaman yang semakin besar ini.