Início » Antivírus e Segurança » Brasileiros criam trojan bancário para Windows, OS X e Linux

Brasileiros criam trojan bancário para Windows, OS X e Linux

Código malicioso é o primeiro que funciona em mais de uma plataforma, segundo a Kaspersky

Jean Prado Por

cadeado-seguranca

Usuários de Mac e Linux não estão mais tão protegidos contra malwares. Segundo a Kaspersky, o primeiro passo foi dado para a construção de um trojan multiplataforma, que tem o objetivo de infectar usuários de Windows, OS X e Linux a partir do mesmo arquivo, no formato Java (*.jar).

trol_bank_braz_en_1

Criado por brasileiros (!), o vírus se espalha por e-mail. Como você pode ver na imagem acima, a vítima recebe uma mensagem dizendo que ela ainda tem uma dívida ativa relativa ao IPVA de 2015 e deve fazer o pagamento para evitar o bloqueio do CPF. Logo abaixo, existe um link para baixar o boleto para efetuar o pagamento, supostamente em formato PDF.

Quando o usuário clica, o vírus é espalhado pelo arquivo em Java, que roda perfeitamente nas três plataformas citadas. Além de baixar o arquivo em *.jar, o usuário pode baixar um arquivo qualquer (como um instalador ou um *.pdf) que tem o código malicioso do Java embutido.

A partir daí, o código pode redirecionar usuários para sites bancários falsos, em que ele coloca seus dados e tem a identidade roubada, ou usar um trojan para infectar o computador do usuário. O código abaixo mostra como um arquivo infectado *.zip poderia ser embutido na pasta \AppData\Local do Windows.

trol_bank_braz_en_4

Um fato curioso é que parte do código é escrito em português, como visto acima, na string "destino". A Kaspersky encontrou outras nomenclaturas, no mínimo, curiosas: os hackers brasileiros escreveram coisas como "liberdade" e "maravilha" no meio do código.

Esse vírus, por mais que pareça comum, é um marco para esse tipo de malware no Brasil. Antes, eles só infectavam um sistema específico, por isso alguns vírus para Windows chegavam em *.exe. Agora, fazendo uso da plataforma Java (que funciona de forma semelhante em todos os sistemas operacionais), eles conseguiram tornar o código "universal".

Dessa forma, o vírus é capaz de rodar em computadores que rodam Windows, Linux ou OS X. Este último, que sempre foi uma das plataformas mais seguras, teve 6,5 mil usuários infectados por um malware no instalador do Transmission, um cliente de BitTorrent. A ameaça já foi controlada na versão 2.92 do aplicativo.

Mas nem tudo está perdido: segundo a Kaspersky, o vírus criado por brasileiros não consegue efetivamente infectar o OS X ou Linux. Isso porque o arquivo em *.zip contém arquivos que são feitos para rodar especificamente no Windows, então não podem transmitir conteúdo malicioso para o Mac, por exemplo. O redirecionamento para os bancos também funciona com base em um sistema do Windows, então não afeta outros sistemas operacionais.

Ainda assim, é uma situação preocupante, uma vez que o primeiro passo foi dado para criar um vírus universal. É apenas uma questão de tempo até esse malware bancário afetar todas as plataformas, segundo a Kaspersky. Para eles, há a possibilidade do código evoluir. "Não tem nenhuma razão para que eles não façam um vírus rodando só em *.jar. Eles acabaram de começar e não vão parar", disse a empresa.

O mapa abaixo mostra os países das vítimas que foram infectadas, com o Brasil e a Espanha em grave ameaça. Portugal, Estados Unidos, China, Alemanha, Argentina e México aparecem com risco moderado. Ainda não há informações sobre o número de vítimas.

trol_bank_braz_en_5

A empresa diz que seus produtos podem detectar a ameaça, apesar da detecção geral desse tipo de malware ser extremamente baixa. Se você usa um antivírus, a ameaça pode cair dentro de uma dessas três categorias: Trojan-Banker.Java.Agent, Trojan-Downloader.Java.Banload e Trojan-Downloader.Java.Agent.

Com informações: International Business Times, Softpedia.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Willian Calera
Tenho um carro e estou em débito...o que faço? Entro no site da secretaria da fazenda que é quem cobra o ipva. É como o golpe do bilhete premiado versão digital .
Felipe Gustavo de Oliveira
É realmente, matéria totalmente diferente da manchete (Gizmodo?) Todo vez que eu abro um PDF ou um JAR e me é solicitada a senha de root eu forneço numa boa... #SQN
Caleb Enyawbruce

valeu!

Ramon Gonzalez
valeu!
@Sckillfer

Ué, mas isso já não existe a anos? Se chama Warsaw/Guardião.

F. S.
Ué, mas isso já não existe a anos? Se chama Warsaw/Guardião.
Petter
Cara, pela "qualidade técnica" deste pessoal eu não duvidaria de nada.
DiEGo S.

Obrigado por responder ☺

DiEGo7SiLVa
Obrigado por responder ?
DiEGo S.

Certo, realmente esse Lammers deve ter comprando o Malware 😉

DiEGo7SiLVa
Certo, realmente esse Lammers deve ter comprando o Malware ?
Daniel Drumond
Sirene*
hugoeustaquio
A grande maioria das ferramentas não exporta o código junto com o .class quando você dá "build". Ofuscar é feito pra dificultar a engenharia reversa. Mesmo se a pessoa não ofuscar (a não ser é claro que o "cracker" tenha sido "bobão" o suficiente pra distribuir o .class com o código "debugável") ainda assim o java extraído não é exatamente igual ao programado. Veja com o que um código java (extraído de um .class sem o fonte) se parece: http://www.benf.org/other/cfr/ Na sessão "syntactic sugar" esclarecem como a ferramenta (o decompilador) nomeia variáveis, métodos, etc... para que o código saia legível. Que eu saiba nenhum decompilador cria código em português... Então de duas uma: ou os autores são grandes lammers bestões ou a equipe conseguiu o fonte de alguma outra maneira...
Zé das Covi

Eu sempre recebo e-mail do banco Votorantim e banco do brasil e itau , sempre dizendo que eu tenho que atualizar algo .. que eu ganhei crédito por ser um cliente ótimo ... o mais legal é que eu sou o remetente .

nicolas gleiser
Eu sempre recebo e-mail do banco Votorantim e banco do brasil e itau , sempre dizendo que eu tenho que atualizar algo .. que eu ganhei crédito por ser um cliente ótimo ... o mais legal é que eu sou o remetente .
Exibir mais comentários