Pesquisadores van TrendMicro ontdekte in april 2026 een geavanceerde malwarecampagne, ontwikkeld door Brazilianen, tegen de financiële instellingen van het land. De banktrojan genaamd Banana RAT werd gevolgd onder de code SHADOW-WATER-063 en richt zich specifiek op 16 nationale banken en cryptocurrency-uitwisselingen met behulp van geavanceerde realtime infectie- en fraudetechnieken.
De analyse bracht een complexe architectuur aan het licht die begint met een kwaadaardig bestand vermomd als een elektronisch belastingdocument dat wordt verspreid via WhatsApp en phishing-links. Operators richten zich vooral op zakelijke gebruikers die bekend zijn met het Braziliaanse elektronische facturatiesysteem, waarbij ze namen als “Consultar_NF-e.bat” gebruiken om de dreiging te camoufleren.
Cadeia infectie in zes stappen
Het infectieproces volgt een goed gestructureerde stroom. Quando voert het slachtoffer het .bat-bestand uit, een verborgen PowerShell-commando wordt onmiddellijk geactiveerd. De Esse-opdracht downloadt een tweede stap genaamd “msedge.txt” van een externe server, waardoor alle code in het vluchtige geheugen (RAM) van het systeem blijft draaien zonder de opslag in een niet-versleutelde vorm aan te raken.
De infrastructuur die door operators wordt onderhouden, is geavanceerd. Op Utilizam gebaseerde FastAPI-servers met negen verduisteringslagen in elke payload. Het systeem onderhoudt een verzameling van 100 tot 200 unieke, vooraf gegenereerde builds, en voor elk verzoek van een slachtoffer wordt een ander bestand gebruikt.
Isso betekent dat elke download een unieke hash heeft. De traditionele handtekeningdetectie van Técnicas faalt volledig in deze strategie. Durante-analyse vonden onderzoekers vier parallelle threads die voortdurend nieuwe ladingen genereerden om de pool vol te houden, waardoor op handtekeningen gebaseerde antivirussen de dreiging niet konden identificeren.
Controle volledige fraude op afstand en in realtime
Eenmaal actief biedt de Banana RAT volledige mogelijkheden voor externe toegang. De operator kan het scherm van het slachtoffer in realtime verzenden via JPEG-streaming, waarbij de opnames op meerdere monitoren werken en de resolutie-instellingen respecteren. De malware injecteert muis- en toetsenbordbedieningen via Win32 API’s, waardoor de operator de invoer van het slachtoffer kan bevriezen met behulp van de BlockInput-functie terwijl hij de machine op afstand bedient.
Een keylogger gebaseerd op GetAsyncKeyState legt alle toetsaanslagen vast in een circulaire buffer van tweeduizend vermeldingen. Todas-communicatie tussen client en server maakt gebruik van AES-256-CBC-codering, waarbij de sleutel afkomstig is van een vaste hoofdsleutel via SHA-256. Het serveranalysepaneel van de aanvallers toont downloads bijgehouden per land, tijd en besturingssysteem. Alle geregistreerde toegang kwam van Brasil.
De belangrijkste oplichtingstechniek maakt gebruik van overlay op volledig scherm. Quando het slachtoffer de bankwebsite opent, geeft de malware een vals beveiligingsupdatebericht weer met de tekst “Segurança-update vereist. ZET UW COMPUTER NIET UIT”. Het nepscherm toont een voortgangsanimatie met vier gesimuleerde stappen, terwijl de operator ongeautoriseerde overboekingen uitvoert in de echte banksessie die op de achtergrond wordt uitgevoerd.
Subsistema speciaal voor Pix en onderschepping van QR-codes
De malware implementeert een specifiek subsysteem voor Pix, waarbij gebruik wordt gemaakt van de ZXing.NET-bibliotheek om QR-codes op het scherm te detecteren en te decoderen. Quando probeert het slachtoffer een rekening te betalen via QR, de malware vervangt de codegegevens. Het geld gaat rechtstreeks naar de rekeningen van de criminelen. De Essa-functionaliteit bestaat exclusief voor de Braziliaanse markt, aangezien het doel de Pix-technologie is, die in andere landen niet aanwezig is.
De onderzoekers vonden een hardgecodeerde lijst van 16 doelen rechtstreeks in de frontend-broncode. Todos zijn Braziliaanse financiële instellingen of cryptocurrency-uitwisselingen voor de nationale markt:
- Itaú
- Bradesco
- Santander Brasil
- Caixa
- Banco van Brasil
- Safra
- Banrisul
- Daycoval
- Sicoob
- Sicredi
Assinatura techniek en continue ontwikkeling
Infrastructuuranalyse bracht consistente vingerafdrukken aan het licht. De polymorfisme-engine stempelt elke payload met de header “PROTECTED SCRIPT v4.0. Projeto Banana (MSEDGE EDITION)”. De editiekwalificatie en het versienummer suggereren een productlijn die voortdurend wordt bijgewerkt door ontwikkelaars.
De Banana RAT deelt mogelijkheden met de Tetrade-familie van Braziliaanse banktrojans, zoals Grandoreiro, Mekotio, Casbaneiro en CHAVECLOAK. De bankoverlay op volledig scherm is het bepalende gedrag van deze malwarefamilie. Maar architectonische verschillen onderscheiden hem van de rest: de Banana RAT is een PowerShell-client die wordt georkestreerd door de Python-server, terwijl de andere leden van de Tetrade-familie verschillende standaarden volgen.
Além Bovendien overtreft het polymorfismesysteem per slachtoffer het systeem dat voor andere familieleden is gedocumenteerd. De infrastructuur overlapt ook niet met gepubliceerde indicatoren van Grandoreiro op het moment van analyse, wat erop wijst dat operators nieuwe ontwijkingstechnieken hebben gebruikt die niet eerder door de beveiligingsgemeenschap waren gedocumenteerd.
Federação Brasileira van Bancos heeft al informatie ontvangen die door TrendMicro wordt gedeeld om instellingen en klanten te beschermen tegen deze groeiende dreiging.