TrendMicron Pesquisadores löysi huhtikuussa 2026 brasilialaisten kehittämän hienostuneen haittaohjelmakampanjan maan rahoituslaitoksia vastaan. Pankkitroijalainen nimeltä Banana RAT seurattiin koodilla SHADOW-WATER-063, ja se kohdistuu erityisesti 16 kansalliseen pankkiin ja kryptovaluuttapörssiin käyttämällä kehittyneitä reaaliaikaisia infektio- ja petostekniikoita.
Analyysi paljasti monimutkaisen arkkitehtuurin, joka alkaa haitallisesta tiedostosta, joka on naamioitu sähköiseksi veroasiakirjaksi ja joka on jaettu WhatsAppin ja tietojenkalastelulinkkien kautta. Operaattorit kohdistavat erityisesti yrityskäyttäjiin, jotka tuntevat brasilialaisen sähköisen laskutusjärjestelmän ja käyttävät nimiä, kuten “Consultar_NF-e.bat” naamioimaan uhkaa.
Cadeia kuusivaiheinen infektio
Infektioprosessi seuraa hyvin jäsenneltyä virtausta. Quando uhri suorittaa .bat-tiedoston, piilotettu PowerShell-komento käynnistyy välittömästi. Esse-komento lataa toisen vaiheen nimeltä “msedge.txt” etäpalvelimelta pitäen kaiken koodin käynnissä järjestelmän haihtuvassa muistissa (RAM) koskematta tallennustilaan salaamattomassa muodossa.
Operaattoreiden ylläpitämä infrastruktuuri on hienostunutta. Utilizam-pohjaiset FastAPI-palvelimet, joissa kussakin hyötykuormassa on yhdeksän hämäräkerrosta. Järjestelmä ylläpitää 100–200 ainutlaatuisen valmiiksi luodun koontiversion joukkoa, ja jokainen uhrin pyyntö kuluttaa eri tiedoston.
Isso tarkoittaa, että jokaisella latauksella on ainutlaatuinen hash. Perinteinen Técnicas allekirjoituksen tunnistus epäonnistuu täysin tämän strategian avulla. Durante-analyysin mukaan tutkijat löysivät neljä rinnakkaista säiettä, jotka luovat jatkuvasti uusia hyötykuormia pitääkseen poolin täynnä ja varmistaakseen, että allekirjoituksiin perustuvat virustentorjuntaohjelmat eivät pysty tunnistamaan uhkia.
Controle täysi kauko- ja reaaliaikainen petos
Kun Banana RAT on aktivoitu, se tarjoaa täydelliset etäkäyttöominaisuudet. Operaattori pystyy välittämään uhrin näytön reaaliajassa JPEG-suoratoiston kautta, jolloin kaappaukset toimivat useilla näytöillä ja noudattavat resoluutioasetuksia. Haittaohjelma syöttää hiiren ja näppäimistön ohjaimia Win32-sovellusliittymien kautta, jolloin käyttäjä voi jäädyttää uhrin syötteen käyttämällä BlockInput-toimintoa samalla kun konetta käytetään etänä.
GetAsyncKeyStateen perustuva näppäinlogger tallentaa kaikki näppäinpainallukset pyöreään 2 tuhannen merkinnän puskuriin. Asiakkaan ja palvelimen välinen Todas-viestintä käyttää AES-256-CBC-salausta, ja avain on peräisin kiinteästä pääavaimesta SHA-256:n kautta. Hyökkääjien palvelimen analytiikkapaneeli näyttää lataukset seurataan maan, ajan ja käyttöjärjestelmän mukaan – kaikki tallennetut käyttöoikeudet tulivat Brasil:stä.
Päähuijaustekniikka käyttää koko näytön peittokuvaa. Quando uhri avaa pankkisivuston, haittaohjelma näyttää väärennetyn tietoturvapäivitysviestin, jossa lukee “Segurança-päivitys vaaditaan. ÄLÄ SAMMUTA TIETOKONETASI”. Väärennetty näyttö näyttää edistymisanimaatiota neljällä simuloidulla askeleella samalla, kun operaattori suorittaa luvattomia siirtoja taustalla käynnissä olevassa todellisessa pankkiistunnossa.
Subsistema on omistettu Pix:n ja QR-koodin sieppaamiseen
Haittaohjelma toteuttaa tietyn alijärjestelmän Pix:lle käyttämällä ZXing.NET-kirjastoa QR-koodien havaitsemiseen ja purkamiseen näytöllä. Quando uhri yrittää maksaa laskun QR:n kautta, haittaohjelma korvaa kooditiedot. Rahat menevät suoraan rikollisten tileille. Essa-toiminnallisuus on olemassa yksinomaan Brasilian markkinoille, koska kohteena on Pix-tekniikka, jota ei ole olemassa muissa maissa.
Tutkijat löysivät kovakoodatun luettelon 16 kohteesta suoraan käyttöliittymän lähdekoodista. Todos ovat brasilialaisia rahoituslaitoksia tai kryptovaluuttapörssejä, jotka sijaitsevat kansallisille markkinoille:
- Itaú
- Bradesco
- Santander Brasil
- Caixa
- Banco alkaen Brasil
- Safra
- Banrisul
- Daycoval
- Sicoob
- Sicredi
Assinatura-tekniikka ja jatkuva kehitys
Infrastruktuurianalyysi paljasti johdonmukaiset sormenjäljet. Polymorfismimoottori leimaa jokaisen hyötykuorman otsikolla “PROTECTED SCRIPT v4.0. Projeto Banana (MSEDGE EDITION)”. Painoksen tarkenne ja versionumero viittaavat tuotevalikoimaan, jota kehittäjät päivittävät jatkuvasti.
Banana RAT jakaa ominaisuudet brasilialaisten pankkitroijalaisten Tetrade-perheen kanssa, kuten Grandoreiro, Mekotio, Casbaneiro ja CHAVECLOAK. Koko näytön pankkipeitto on tämän haittaohjelmaperheen määrittävä toimintatapa. Mutta arkkitehtoniset erot erottavat sen muista: Banana RAT on Python-palvelimen ohjaama PowerShell-asiakas, kun taas muut Tetrade-perheen jäsenet noudattavat erilaisia standardeja.
Além Lisäksi polymorfismijärjestelmä uhria kohti ylittää muiden perheenjäsenten dokumentoidun. Infrastruktuuri ei myöskään ole päällekkäinen Grandoreiro:n julkaistujen indikaattoreiden kanssa analyysin aikana, mikä viittaa siihen, että operaattorit käyttivät uusia evaasiotekniikoita, joita turvallisuusyhteisö ei ole aiemmin dokumentoinut.
Bancos:n Federação Brasileira on jo saanut TrendMicron jakaman tiedon suojellakseen laitoksia ja asiakkaita tältä kasvavalta uhalta.