Banana RAT: malware brasileiro compromete transações PIX em 16 bancos

Lead

Um softwear malicioso de origem brasileira foi descoberto em abril de 2026 direcionado especificamente para instituições financeiras do país. O malware, apelidado de Banana RAT e rastreado sob a designação SHADOW-WATER-063, representa uma ameaça sofisticada contra operações de transferência instantânea via PIX, afetando ao menos 16 entidades bancárias.

Método de Entrada e Infecção

O vetor de ataque explora a familiaridade dos usuários brasileiros com o sistema de faturamento eletrônico. Os criminosos distribuem o malware através de documentos falsos disfarçados como consultas de notas fiscais, geralmente disseminados por aplicativos de mensagem instantânea ou campanhas de phishing. Uma vez executado, o arquivo dispara uma sequência de comandos PowerShell que estabelece a infecção em memória RAM, contornando detecção baseada em assinatura através de múltiplas camadas de ofuscação.

Arquitetura Técnica e Evasão

O código executável nunca é gravado em disco em forma descriptografada, permanecendo integralmente na memória volátil durante sua operação. Os operadores mantêm um arsenal de 100 a 200 variantes pré-geradas, garantindo que cada vítima receba uma versão com hash distinto. Esse sistema de polimorfismo, apoiado por quatro threads paralelos de geração contínua de payloads, torna ineficaz a defesa convencional por assinatura de arquivos.

Capacidades de Vigilância e Roubo

Uma vez instalado, o Banana RAT oferece ao operador controle total sobre a máquina infectada. O malware captura fluxos de vídeo da tela em tempo real, injeta movimentos de mouse e toques de teclado, e registra atividades do usuário em um buffer circular de 2 mil entradas. Adicionalmente, consegue bloquear o input do usuário, impedindo qualquer interferência durante transações não autorizadas.

Ataque Contra Transações PIX

A tática mais agressiva envolve a exibição de uma sobreposição em tela cheia simulando uma atualização de segurança obrigatória, enquanto a fraude ocorre em background. O malware intercepta códigos QR de Pix usando bibliotecas de leitura padronizadas (ZXing.NET) e os substitui por códigos que redirecionam pagamentos para contas controladas pelos criminosos, tudo enquanto uma animação falsa de progresso tranquiliza a vítima.

Alcance e Resposta Institucional

As instituições afetadas incluem bancos de grande porte como Itaú, Bradesco, Santander Brasil e Caixa, além de cooperativas de crédito e plataformas de criptoativos. A Federação Brasileira de Bancos (FEBRABAN) foi notificada e coordena resposta com órgãos de segurança. Pesquisadores da Trend Micro, que identificaram a ameaça, compartilharam inteligência com o setor para reforçar defesas e proteger usuários finais.

Fechamento

A descoberta do Banana RAT evidencia a sofisticação crescente de grupos criminosos brasileiros em explorar especificidades do ecossistema financeiro local. Usuários devem manter cautela com arquivos recebidos por mensageiros, especialmente documentos fiscais inesperados, e garantir que sistemas operacionais e software de segurança estejam atualizados. A vigilância conjunta de instituições financeiras, órgãos de segurança cibernética e pesquisadores especializados permanece fundamental para mitigation contínua.

Fonte: TecMundo — Banana RAT: vírus criado por brasileiros rouba PIX de 16 bancos