Malware bancário usa WhatsApp para se espalhar entre contatos no Brasil

Pesquisadores identificaram no Brasil uma nova campanha de malware bancário que usa o WhatsApp Web para se espalhar automaticamente entre contatos da vítima

Especialistas em cibersegurança identificaram uma nova ofensiva de malware bancário em circulação no Brasil, que tem chamado a atenção pelo método utilizado para se espalhar. A campanha, apelidada de Boto Cor-de-Rosa, representa uma evolução no funcionamento do trojan bancário Astaroth, que passou a explorar o WhatsApp Web como principal meio de disseminação.

De acordo com a Unidade de Pesquisa da Acronis, a infecção tem início quando a vítima recebe, pelo WhatsApp, uma mensagem contendo um arquivo compactado em formato ZIP. Ao abrir o arquivo, o usuário acaba executando um script em Visual Basic camuflado como um documento legítimo, dando início ao comprometimento do computador.

Uma vez ativo, o malware opera em duas frentes simultâneas. O primeiro módulo é responsável pela propagação automática: ele acessa a lista de contatos da vítima e encaminha o mesmo arquivo malicioso para cada um deles, ampliando rapidamente o alcance da campanha. O segundo módulo atua de forma silenciosa, monitorando a navegação do usuário em busca de acessos a sites bancários e serviços financeiros.

Segundo o pesquisador sênior de segurança da Acronis Threat Research Unit, Jozsef Gegeny, o uso do WhatsApp como vetor já foi observado em outras ameaças, mas a estratégia atual marca uma mudança significativa dentro do próprio Astaroth. “Trata-se de um trojan bancário desenvolvido em Delphi que, agora, incorporou um mecanismo de propagação via WhatsApp. Internamente, essa campanha foi batizada de Boto Cor-de-Rosa”, explicou ao Estado de Minas.

Gegeny ressalta que existem outras operações que utilizam o aplicativo de mensagens para disseminação, mas com diferenças técnicas importantes. Um exemplo é a campanha conhecida como Sorvepotel, que também se vale do WhatsApp, porém emprega um trojan auxiliar distinto, chamado Maverick, e não o Astaroth.

De acordo com o especialista, o sucesso de ações anteriores inspirou a nova abordagem. “Campanhas como Water Saci e Sorvepotel mostraram que o WhatsApp é um canal eficiente. A partir disso, o Astaroth passou a incorporar um módulo próprio de propagação pelo aplicativo para expandir seu alcance”, destacou.

Além da engenharia social, a operação se diferencia pelo nível de sofisticação técnica. O módulo responsável pela disseminação foi desenvolvido em Python e é capaz de registrar métricas em tempo real sobre o envio das mensagens, o que dificulta a detecção e a análise por métodos tradicionais de segurança.

Diante do cenário, especialistas alertam para a importância de redobrar a atenção. A principal orientação é evitar abrir arquivos não solicitados, mesmo quando enviados por contatos conhecidos. A tendência, segundo os analistas, é de ataques cada vez mais automatizados, direcionados e integrados às ferramentas mais populares do dia a dia digital dos brasileiros.