20 maio Banana RAT: vírus criado por brasileiros rouba PIX de 16 bancos
Cibercriminosos desenvolveram e distribuem um trojan bancário chamado Banana RAT contra instituições financeiras do país. A campanha foi descoberta pela TrendAI em abril de 2026. Os pesquisadores recuperaram tanto a infraestrutura dos atacantes quanto telemetria de endpoints comprometidos.
O grupo por trás do malware opera exclusivamente contra alvos brasileiros, sendo rastreado como SHADOW-WATER-063. A empresa já compartilha inteligência com a Federação Brasileira de Bancos para proteger instituições e clientes.
Vítima recebe arquivo falso por WhatsApp
A infecção começa quando a vítima recebe uma isca por WhatsApp ou link de phishing. Na abordagem, há um arquivo malicioso que se disfarça como documento de nota fiscal eletrônica, com o nome “Consultar_NF-e.bat”. A escolha do nome NF-e sugere que os operadores miram usuários corporativos familiarizados com o sistema de faturamento eletrônico brasileiro.
Cadeia de infecção em seis etapas: do arquivo .bat inicial até a execução de fraudes via overlay bancário, troca de QR code do Pix e injeção de comandos remotos. Imagem: TrendMicro.
Quando a vítima executa o arquivo em um computador, ele dispara um comando PowerShell oculto. Esse comando baixa uma segunda etapa, chamada “msedge.txt”, de um servidor remoto. O código nunca toca o armazenamento de forma descriptografada, mas roda inteiramente na memória volátil (RAM) do sistema.
Sistema de ofuscação gera 200 variantes únicas
Os operadores mantêm infraestrutura sofisticada para distribuição, como o uso de servidores FastAPI como base e nove camadas de ofuscação em cada payload. O sistema mantém um pool de 100 a 200 builds únicas pré-geradas e cada requisição de vítima consome uma diferente.
Em outras palavras, isso significa que cada arquivo baixado tem hash único. Por esse motivo, técnicas tradicionais de detecção por assinatura falham completamente. Durante a análise, por exemplo, os pesquisadores encontraram quatro threads paralelas gerando novos payloads constantemente para manter o pool cheio.
Diagrama de infraestrutura do Banana RAT: o servidor FastAPI mantém pool de builds únicos e os distribui um a um para cada vítima, que executa o payload inteiramente na memória. Imagem: TrendMicro.
Controle total permite fraude em tempo real
O Banana RAT entrega capacidades completas de acesso remoto quando ativo. O operador consegue transmitir a tela da vítima em tempo real via streaming JPEG, com as capturas funcionando com múltiplos monitores e respeitando configurações de resolução.
O malware também injeta controles de mouse e teclado através de APIs Win32. Com isso, o operador pode congelar o input da vítima usando a função BlockInput enquanto opera a máquina remotamente. Um keylogger baseado em GetAsyncKeyState captura todas as teclas digitadas em buffer circular de 2 mil entradas.
Todas as comunicações entre cliente e servidor usam criptografia AES-256-CBC. A chave deriva de uma master key fixa via SHA-256.
Painel de analytics do servidor dos atacantes mostra downloads rastreados por país, horário e sistema operacional — todos os acessos registrados vinham do Brasil. Imagem: TrendMicro.
Overlay falso esconde transações fraudulentas
A técnica principal de fraude usa sobreposição de tela completa. Quando a vítima abre site bancário, o malware exibe mensagem falsa de atualização de segurança: “Atualização de Segurança obrigatória. NÃO DESLIGUE O COMPUTADOR”.
A tela falsa mostra animação de progresso com quatro etapas simuladas. Enquanto isso, o operador executa transferências não autorizadas na sessão bancária real que roda em segundo plano. A vítima não vê as operações fraudulentas.
Sistema dedicado intercepta QR codes do Pix
O malware implementa subsistema específico para Pix, utilizando a biblioteca ZXing.NET para detectar e decodificar QR codes na tela.
Lista hardcoded de domínios monitorados pelo Banana RAT: o malware vigia portais do Bradesco, Itaú, Santander, Caixa, Banco do Brasil e exchanges de criptomoedas brasileiras. Imagem: TrendMicro.
Quando a vítima tenta pagar a conta via QR, o malware substitui os dados do código. O dinheiro vai direto para conta dos criminosos. Essa funcionalidade só existe para o mercado brasileiro, uma vez que o alvo é a tecnologia Pix.
Lista de alvos inclui 16 instituições brasileiras
Os pesquisadores encontraram uma lista com 16 alvos diretamente no código-fonte do frontend. Todos são instituições financeiras brasileiras ou exchanges de criptomoedas localizadas para o mercado nacional.
A lista inclui, entre outros:
Itaú;Bradesco;Santander Brasil;Caixa;Banco do Brasil;Safra;Banrisul;Daycoval;Sicoob;Sicredi.
A análise de infraestrutura revelou impressões digitais consistentes. O motor de polimorfismo carimba cada payload com o cabeçalho “PROTECTED SCRIPT v4.0. Projeto Banana (MSEDGE EDITION)”. O qualificador de edição e número de versão sugerem um linha de produto em atualização.
Trecho do msedge.txt com o texto da tela falsa de atualização de segurança — a mensagem usa o nome do usuário e da máquina para parecer legítima. Imagem: TrendMicro.
Similaridade com ecossistema Tetrade
O Banana RAT compartilha capacidades com a família Tetrade de trojans bancários brasileiros, como Grandoreiro, Mekotio, Casbaneiro e CHAVECLOAK. O overlay bancário de tela cheia é comportamento definidor dessa família.
Código do módulo QROverlay descompilado: a classe detecta sessões bancárias ativas e aciona a sobreposição de tela conforme o banco identificado. Imagem: TrendMicro.
Mas as diferenças arquiteturais o distinguem dos demais: o Banana RAT é um cliente PowerShell orquestrado por servidor Python. Além disso, o sistema de polimorfismo por vítima excede o documentado para outros membros da família. A infraestrutura também não sobrepõe com indicadores publicados de Grandoreiro até o momento da análise.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.