Pesquisadores da TrendMicro descobriram em abril de 2026 uma campanha sofisticada de malware desenvolvida por brasileiros contra instituições financeiras do país. O trojan bancário chamado Banana RAT foi rastreado sob o código SHADOW-WATER-063 e tem como alvo específico 16 bancos e exchanges de criptomoedas nacionais, utilizando técnicas avançadas de infecção e fraude em tempo real.
A análise revelou uma arquitetura complexa que começa com um arquivo malicioso disfarçado de documento fiscal eletrônico distribuído via WhatsApp e links de phishing. Os operadores miram especialmente usuários corporativos familiarizados com o sistema de faturamento eletrônico brasileiro, usando nomes como “Consultar_NF-e.bat” para camuflar a ameaça.
Cadeia de infecção em seis etapas
O processo de infecção segue um fluxo bem estruturado. Quando a vítima executa o arquivo .bat, um comando PowerShell oculto é disparado imediatamente. Esse comando baixa uma segunda etapa chamada “msedge.txt” de um servidor remoto, mantendo todo o código rodando na memória volátil (RAM) do sistema sem tocar no armazenamento de forma descriptografada.
A infraestrutura mantida pelos operadores é sofisticada. Utilizam servidores FastAPI como base com nove camadas de ofuscação em cada payload. O sistema mantém um pool de 100 a 200 builds únicos pré-gerados, e cada requisição de uma vítima consome um arquivo diferente.
Isso significa que cada download tem hash único. Técnicas tradicionais de detecção por assinatura falham completamente diante dessa estratégia. Durante a análise, os pesquisadores encontraram quatro threads paralelas gerando novos payloads constantemente para manter o pool cheio, garantindo que antivírus baseados em assinatura não consigam identificar a ameaça.
Controle remoto total e fraude em tempo real
Uma vez ativo, o Banana RAT entrega capacidades completas de acesso remoto. O operador consegue transmitir a tela da vítima em tempo real via streaming JPEG, com as capturas funcionando com múltiplos monitores e respeitando configurações de resolução. O malware injeta controles de mouse e teclado através de APIs Win32, permitindo que o operador congele o input da vítima usando a função BlockInput enquanto opera a máquina remotamente.
Um keylogger baseado em GetAsyncKeyState captura todas as teclas digitadas em buffer circular de 2 mil entradas. Todas as comunicações entre cliente e servidor usam criptografia AES-256-CBC, com a chave derivando de uma master key fixa via SHA-256. O painel de analytics do servidor dos atacantes mostra downloads rastreados por país, horário e sistema operacional — todos os acessos registrados vinham do Brasil.
A técnica principal de fraude usa sobreposição de tela completa. Quando a vítima abre o site bancário, o malware exibe uma mensagem falsa de atualização de segurança que diz “Atualização de Segurança obrigatória. NÃO DESLIGUE O COMPUTADOR”. A tela falsa mostra animação de progresso com quatro etapas simuladas, enquanto o operador executa transferências não autorizadas na sessão bancária real que roda em segundo plano.
Subsistema dedicado para Pix e interceptação de QR codes
O malware implementa um subsistema específico para Pix, utilizando a biblioteca ZXing.NET para detectar e decodificar QR codes na tela. Quando a vítima tenta pagar uma conta via QR, o malware substitui os dados do código. O dinheiro vai direto para a conta dos criminosos. Essa funcionalidade existe exclusivamente para o mercado brasileiro, uma vez que o alvo é a tecnologia Pix, que não está presente em outros países.
Os pesquisadores encontraram uma lista hardcoded com 16 alvos diretamente no código-fonte do frontend. Todos são instituições financeiras brasileiras ou exchanges de criptomoedas localizadas para o mercado nacional:
- Itaú
- Bradesco
- Santander Brasil
- Caixa
- Banco do Brasil
- Safra
- Banrisul
- Daycoval
- Sicoob
- Sicredi
Assinatura técnica e desenvolvimento contínuo
A análise de infraestrutura revelou impressões digitais consistentes. O motor de polimorfismo carimba cada payload com o cabeçalho “PROTECTED SCRIPT v4.0. Projeto Banana (MSEDGE EDITION)”. O qualificador de edição e número de versão sugerem uma linha de produto em atualização constante pelos desenvolvedores.
O Banana RAT compartilha capacidades com a família Tetrade de trojans bancários brasileiros, como Grandoreiro, Mekotio, Casbaneiro e CHAVECLOAK. O overlay bancário de tela cheia é comportamento definidor dessa família de malware. Mas as diferenças arquiteturais o distinguem dos demais: o Banana RAT é um cliente PowerShell orquestrado por servidor Python, enquanto os outros membros da família Tetrade seguem padrões diferentes.
Além disso, o sistema de polimorfismo por vítima excede o documentado para outros membros da família. A infraestrutura também não sobrepõe com indicadores publicados de Grandoreiro até o momento da análise, sugerindo que os operadores utilizaram novas técnicas de evasão não antes documentadas pela comunidade de segurança.
A Federação Brasileira de Bancos já recebeu inteligência compartilhada pela TrendMicro para proteger instituições e clientes contra essa ameaça crescente.