Banco

Pesquisadores de cibersegurança revelaram detalhes sobre um novo trojan bancário para Android chamado Herodotus, que está em campanhas ativas visando usuários na Itália e no Brasil. O malware, que foi anunciado em fóruns underground em setembro de 2025, é projetado para realizar ataques de tomada de controle de dispositivos (DTO) e se destaca por tentar imitar o comportamento humano para evitar a detecção por biometria comportamental. Herodotus é distribuído por aplicativos disfarçados, como uma versão falsa do Google Chrome, e utiliza serviços de acessibilidade para interagir com a tela do dispositivo, exibir telas de login falsas e roubar credenciais. Além disso, o trojan pode interceptar códigos de autenticação de dois fatores (2FA) e instalar arquivos APK remotamente. Uma característica inovadora do Herodotus é a introdução de atrasos aleatórios nas ações remotas, o que simula a digitação humana e dificulta a detecção por soluções antifraude. O malware está em desenvolvimento ativo e já mira organizações financeiras em diversos países, incluindo os EUA e o Reino Unido, ampliando seu alcance. A ameaça representa um risco significativo para usuários de dispositivos Android, especialmente em um contexto onde a segurança financeira é crítica.

Uma nova campanha de malware em larga escala foi identificada no Brasil, envolvendo um Trojan bancário chamado Maverick, que se espalha através do WhatsApp. O ataque utiliza arquivos LNK maliciosos enviados em arquivos ZIP, contornando as restrições da plataforma de mensagens. Ao abrir o arquivo, o Trojan executa um comando PowerShell que baixa cargas adicionais de um servidor de comando e controle (C2), utilizando um canal de comunicação que valida rigorosamente o acesso. O Maverick se destaca por sua capacidade de se propagar rapidamente entre contatos do WhatsApp, enviando mensagens de spam com novos arquivos maliciosos. Além disso, o malware monitora navegadores e visa 26 portais bancários brasileiros, além de exchanges de criptomoedas. O componente principal, chamado Maverick Agent, permite que os atacantes tenham controle total do sistema da vítima, incluindo captura de tela e registro de teclas. Nos primeiros dez dias de outubro, mais de 62.000 tentativas de infecção foram bloqueadas, evidenciando a gravidade da ameaça, que é direcionada a usuários brasileiros, utilizando verificação de idioma e fuso horário.

Pesquisadores de segurança da Dell e da Sophos descobriram uma campanha ativa de malware que explora a plataforma WhatsApp Web para disseminar um worm auto-replicante. Iniciada em 29 de setembro de 2025, a campanha visa principalmente usuários brasileiros, utilizando mensagens enganosas e anexos ZIP maliciosos para comprometer sistemas. Os usuários recebem mensagens de contatos infectados contendo arquivos ZIP que aparentam ser documentos financeiros legítimos, mas que, ao serem abertos, executam comandos PowerShell ocultos. Esses comandos baixam scripts adicionais de um servidor de comando e controle, desativando mecanismos de segurança do Windows e permitindo a instalação de trojans bancários e ladrões de credenciais de criptomoedas. Entre os malwares identificados estão um trojan bancário conhecido como Maverick e um módulo de automação de navegador que utiliza o Selenium para controlar sessões do WhatsApp Web. A campanha já afetou mais de 1.000 endpoints em 400 ambientes na primeira semana, destacando a necessidade urgente de conscientização e proteção contra anexos ZIP recebidos por plataformas de mensagens.

Pesquisadores de segurança da ThreatFabric MTI descobriram um novo trojan bancário para Android, chamado RatOn, que combina táticas clássicas de sobreposição e relé NFC com acesso remoto completo e capacidades de Sistema de Transferência Automatizada (ATS). Emergiu em 5 de julho de 2025 e evoluiu até 29 de agosto de 2025, representando a primeira integração conhecida de ataques de relé NFC em um framework de Trojan de Acesso Remoto.

O ataque começa quando as vítimas baixam um APK malicioso disfarçado de instalador de aplicativos de sites adultos da República Tcheca e da Eslováquia. Após a instalação, o trojan solicita permissões de Acessibilidade e Administrador do Dispositivo, permitindo que opere em segundo plano. RatOn monitora continuamente o estado do dispositivo, enviando capturas de tela e descrições textuais dos elementos da interface do usuário para seu servidor de controle.