sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Brasil enfrenta a Noruega hoje pelas oitavas de final da Copa do Mundo
5 de julho de 2026
Crunchyroll chega ao app Apple TV
5 de julho de 2026
obra na rede de esgoto vai modernizar sistema e melhorar atendimento no Caetetuba – Jornal Folha de Atibaia
5 de julho de 2026
Melhor aspirador de pó vertical WAP; confira 5 modelos
5 de julho de 2026
domingo, julho 5, 2026
Top Posts
Brasil enfrenta a Noruega hoje pelas oitavas de...
Crunchyroll chega ao app Apple TV
obra na rede de esgoto vai modernizar sistema...
Melhor aspirador de pó vertical WAP; confira 5...
De pênalti, França vence retranca do Paraguai e...
James Bond: 8 atores perfeitos para estrelar o...
Rodovias de SP passam a ter câmeras integradas...
Gata morre após suposto disparo de espingarda de...
Ancelotti dá pista de Martinelli para vaga de...
Directive 8020: como salvar todos os personagens e...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Brasil enfrenta a Noruega hoje pelas oitavas de final da Copa do Mundo
5 de julho de 2026
Crunchyroll chega ao app Apple TV
5 de julho de 2026
obra na rede de esgoto vai modernizar sistema e melhorar atendimento no Caetetuba – Jornal Folha de Atibaia
5 de julho de 2026
Melhor aspirador de pó vertical WAP; confira 5 modelos
5 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Brasil enfrenta a Noruega hoje pelas oitavas de final da Copa do Mundo
5 de julho de 2026
Crunchyroll chega ao app Apple TV
5 de julho de 2026
obra na rede de esgoto vai modernizar sistema e melhorar atendimento no Caetetuba – Jornal Folha de Atibaia
5 de julho de 2026
Melhor aspirador de pó vertical WAP; confira 5 modelos
5 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

Banana RAT: vírus criado por brasileiros rouba PIX de 16 bancos

por SampaNews 21 de maio de 2026
21 de maio de 2026
23

Cibercriminosos desenvolveram e distribuem um trojan bancário chamado Banana RAT contra instituições financeiras do país. A campanha foi descoberta pela TrendAI em abril de 2026. Os pesquisadores recuperaram tanto a infraestrutura dos atacantes quanto telemetria de endpoints comprometidos.

O grupo por trás do malware opera exclusivamente contra alvos brasileiros, sendo rastreado como SHADOW-WATER-063. A empresa já compartilha inteligência com a Federação Brasileira de Bancos para proteger instituições e clientes.

smart_display

Nossos vídeos em destaque

Vítima recebe arquivo falso por WhatsApp

A infecção começa quando a vítima recebe uma isca por WhatsApp ou link de phishing. Na abordagem, há um arquivo malicioso que se disfarça como documento de nota fiscal eletrônica, com o nome “Consultar_NF-e.bat”. A escolha do nome NF-e sugere que os operadores miram usuários corporativos familiarizados com o sistema de faturamento eletrônico brasileiro.

Cadeia de infecção em seis etapas: do arquivo .bat inicial até a execução de fraudes via overlay bancário, troca de QR code do Pix e injeção de comandos remotos. Imagem: TrendMicro.

Quando a vítima executa o arquivo em um computador, ele dispara um comando PowerShell oculto. Esse comando baixa uma segunda etapa, chamada “msedge.txt”, de um servidor remoto. O código nunca toca o armazenamento de forma descriptografada, mas roda inteiramente na memória volátil (RAM) do sistema.

Sistema de ofuscação gera 200 variantes únicas

Os operadores mantêm infraestrutura sofisticada para distribuição, como o uso de servidores FastAPI como base e nove camadas de ofuscação em cada payload. O sistema mantém um pool de 100 a 200 builds únicas pré-geradas e cada requisição de vítima consome uma diferente.

Em outras palavras, isso significa que cada arquivo baixado tem hash único. Por esse motivo, técnicas tradicionais de detecção por assinatura falham completamente. Durante a análise, por exemplo, os pesquisadores encontraram quatro threads paralelas gerando novos payloads constantemente para manter o pool cheio.

banana rat (2).png
Diagrama de infraestrutura do Banana RAT: o servidor FastAPI mantém pool de builds únicos e os distribui um a um para cada vítima, que executa o payload inteiramente na memória. Imagem: TrendMicro.

Controle total permite fraude em tempo real

O Banana RAT entrega capacidades completas de acesso remoto quando ativo. O operador consegue transmitir a tela da vítima em tempo real via streaming JPEG, com as capturas funcionando com múltiplos monitores e respeitando configurações de resolução.

O malware também injeta controles de mouse e teclado através de APIs Win32. Com isso, o operador pode congelar o input da vítima usando a função BlockInput enquanto opera a máquina remotamente. Um keylogger baseado em GetAsyncKeyState captura todas as teclas digitadas em buffer circular de 2 mil entradas.

Todas as comunicações entre cliente e servidor usam criptografia AES-256-CBC. A chave deriva de uma master key fixa via SHA-256.

banana rat (3).png
Painel de analytics do servidor dos atacantes mostra downloads rastreados por país, horário e sistema operacional — todos os acessos registrados vinham do Brasil. Imagem: TrendMicro.

Overlay falso esconde transações fraudulentas

A técnica principal de fraude usa sobreposição de tela completa. Quando a vítima abre site bancário, o malware exibe mensagem falsa de atualização de segurança: “Atualização de Segurança obrigatória. NÃO DESLIGUE O COMPUTADOR”.

A tela falsa mostra animação de progresso com quatro etapas simuladas. Enquanto isso, o operador executa transferências não autorizadas na sessão bancária real que roda em segundo plano. A vítima não vê as operações fraudulentas.

Sistema dedicado intercepta QR codes do Pix

O malware implementa subsistema específico para Pix, utilizando a biblioteca ZXing.NET para detectar e decodificar QR codes na tela.

banana rat (4).png
Lista hardcoded de domínios monitorados pelo Banana RAT: o malware vigia portais do Bradesco, Itaú, Santander, Caixa, Banco do Brasil e exchanges de criptomoedas brasileiras. Imagem: TrendMicro.

Quando a vítima tenta pagar a conta via QR, o malware substitui os dados do código. O dinheiro vai direto para conta dos criminosos. Essa funcionalidade só existe para o mercado brasileiro, uma vez que o alvo é a tecnologia Pix. 

Lista de alvos inclui 16 instituições brasileiras

Os pesquisadores encontraram uma lista com 16 alvos diretamente no código-fonte do frontend. Todos são instituições financeiras brasileiras ou exchanges de criptomoedas localizadas para o mercado nacional. 

A lista inclui, entre outros: 

  • Itaú;
  • Bradesco;
  • Santander Brasil;
  • Caixa;
  • Banco do Brasil;
  • Safra;
  • Banrisul;
  • Daycoval;
  • Sicoob;
  • Sicredi.

A análise de infraestrutura revelou impressões digitais consistentes. O motor de polimorfismo carimba cada payload com o cabeçalho “PROTECTED SCRIPT v4.0. Projeto Banana (MSEDGE EDITION)”. O qualificador de edição e número de versão sugerem um linha de produto em atualização.

banana rat (5).png
Trecho do msedge.txt com o texto da tela falsa de atualização de segurança — a mensagem usa o nome do usuário e da máquina para parecer legítima. Imagem: TrendMicro.

Similaridade com ecossistema Tetrade

O Banana RAT compartilha capacidades com a família Tetrade de trojans bancários brasileiros, como Grandoreiro, Mekotio, Casbaneiro e CHAVECLOAK. O overlay bancário de tela cheia é comportamento definidor dessa família.

banana rat (6).png
Código do módulo QROverlay descompilado: a classe detecta sessões bancárias ativas e aciona a sobreposição de tela conforme o banco identificado. Imagem: TrendMicro.

Mas as diferenças arquiteturais o distinguem dos demais: o Banana RAT é um cliente PowerShell orquestrado por servidor Python. Além disso, o sistema de polimorfismo por vítima excede o documentado para outros membros da família. A infraestrutura também não sobrepõe com indicadores publicados de Grandoreiro até o momento da análise.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
Microsoft derruba operação criminosa que oferecia ‘vírus por assinatura’
próxima postagem
RedNote: como o ‘Instagram chinês’ está mudando o jeito de viajar pela China

Você também pode gostar

Crunchyroll chega ao app Apple TV

5 de julho de 2026

Melhor aspirador de pó vertical WAP; confira 5...

5 de julho de 2026

James Bond: 8 atores perfeitos para estrelar o...

4 de julho de 2026

Directive 8020: como salvar todos os personagens e...

4 de julho de 2026

POSTS MAIS RECENTES

  • Brasil enfrenta a Noruega hoje pelas oitavas de final da Copa do Mundo
  • Crunchyroll chega ao app Apple TV
  • obra na rede de esgoto vai modernizar sistema e melhorar atendimento no Caetetuba – Jornal Folha de Atibaia
  • Melhor aspirador de pó vertical WAP; confira 5 modelos
  • De pênalti, França vence retranca do Paraguai e se classifica na Copa

Siga-nos

  • Recente
  • Popular
  • Brasil enfrenta a Noruega hoje pelas oitavas de final da Copa do Mundo

    5 de julho de 2026
  • Crunchyroll chega ao app Apple TV

    5 de julho de 2026
  • obra na rede de esgoto vai modernizar sistema e melhorar atendimento no Caetetuba – Jornal Folha de Atibaia

    5 de julho de 2026
  • Melhor aspirador de pó vertical WAP; confira 5 modelos

    5 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

James Bond: 8 atores perfeitos para estrelar o...

4 de julho de 2026

Rodovias de SP passam a ter câmeras integradas...

4 de julho de 2026

Gata morre após suposto disparo de espingarda de...

4 de julho de 2026

Ancelotti dá pista de Martinelli para vaga de...

4 de julho de 2026

Directive 8020: como salvar todos os personagens e...

4 de julho de 2026

Leitura obrigatória

  • Brasil enfrenta a Noruega hoje pelas oitavas de final da Copa do Mundo

    5 de julho de 2026
  • Crunchyroll chega ao app Apple TV

    5 de julho de 2026
  • obra na rede de esgoto vai modernizar sistema e melhorar atendimento no Caetetuba – Jornal Folha de Atibaia

    5 de julho de 2026
  • Melhor aspirador de pó vertical WAP; confira 5 modelos

    5 de julho de 2026
  • De pênalti, França vence retranca do Paraguai e se classifica na Copa

    4 de julho de 2026

Newsletter

Posts relacionados

  • Crunchyroll chega ao app Apple TV

    5 de julho de 2026
  • Melhor aspirador de pó vertical WAP; confira 5 modelos

    5 de julho de 2026
  • James Bond: 8 atores perfeitos para estrelar o próximo 007

    4 de julho de 2026
  • Directive 8020: como salvar todos os personagens e mais dicas

    4 de julho de 2026
  • Por onde anda Jackson Rathbone, o Jasper de Crepúsculo?

    4 de julho de 2026

Mais vistas da semana

Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”
22 de janeiro de 2026
Minions & Monstros, Elle e mais! Os lançamentos de filmes e séries da semana (28/06)
28 de junho de 2026
9 melhores filmes e séries para assistir na Netflix em julho
1 de julho de 2026

Postagens Aleatórias

Apple planeja agente de IA para concorrer com o OpenClaw, diz rumor
16 de junho de 2026
Beto Louco e Primo, que negociam delação premiada, são localizados na Líbia
10 de abril de 2026
Nikolas banca ato contra ministros do STF e amplia racha no bolsonarismo
17 de fevereiro de 2026

Categorias Populares

  • Tecnologia (5.895)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (2.041)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.098)
  • Bragança Paulista (1.068)
  • Esporte (774)
  • Saúde (487)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home