Malware no WhatsApp mira clientes do Itaú, Caixa e Santander
Recentemente, especialistas da Trustwave SpiderLabs identificaram um trojan bancário sofisticado sendo disseminado por meio do WhatsApp, com foco em clientes de grandes bancos no Brasil — especificamente Itaú, Caixa e Santander. Segundo a análise, a ameaça foi batizada de Eternidade Stealer, e sua forma de propagação e funcionamento representam um risco elevado para usuários e para a integridade de dados financeiros.
Como funciona o malware
A campanha maliciosa mistura técnicas avançadas: os criminosos usam um worm (verme) que se autorreplica dentro do WhatsApp e, simultaneamente, um dropper no formato MSI para instalar componentes mais perigosos. Esse dropper implanta um trojan bancário em Delphi, cuja missão é realizar uma varredura no sistema infectado, detectar antivírus presentes e descriptografar os payloads maliciosos para executar ações de roubo de dados sensíveis.
Além disso, o malware coleta diversas informações da vítima: ele rouba credenciais bancárias, dados do sistema, detalhes da lista de contatos e outros elementos que permitem aos criminosos entender o perfil da pessoa atacada e potencializar golpes futuros.
Capacidade de automação e personalização
Uma das características mais alarmantes desse trojan é sua agilidade e automatização. O worm em Python consegue enviar mensagens de forma automática pelo WhatsApp, ampliando a quantidade de vítimas em curto espaço de tempo.
Além disso, o malware tem comportamento condicional: ele só é ativado em sistemas configurados em português brasileiro, o que mostra uma adaptação muito específica para atacar usuários no Brasil. Quando interage com a vítima, a mensagem enviada é personalizada — pode alterar o nome do remetente, o horário da mensagem e outros campos para parecer mais legítima e convincente, dificultando que a vítima perceba que se trata de algo malicioso.
Dificuldade para remoção
Outro ponto crítico apontado pela Trustwave é que o Eternidade Stealer é mais persistente do que muitos trojans bancários tradicionais. A estrutura de dropper (instalador) torna a remoção mais complexa e exige mais esforço por parte da vítima — especialmente se ela não tiver ferramentas de segurança robustas ou não souber exatamente onde e como o malware está instalado.
Consequências potenciais para usuários e bancos
Para os usuários, o risco é grande: além do roubo direto de dados bancários, a invasão permite acesso a contatos pessoais, o que pode alimentar campanhas de phishing mais elaboradas. A coleta de informações do sistema possibilita que os criminosos planejem ataques futuros mais precisos (como ataques direcionados ou até ransomware).
Para os bancos-alvo — Itaú, Caixa e Santander —, a campanha representa uma ameaça reputacional e operacional. Se muitos clientes forem infectados, pode haver um impacto direto na confiança depositada nas instituições, além de potenciais prejuízos caso as informações roubadas sejam usadas para transferências, fraudes ou autenticação indevida.
Medidas recomendadas para defesa
Como analista de cibersegurança, recomendo as seguintes ações para mitigar esse tipo de ameaça:
-
Monitoramento de mensagens suspeitas no WhatsApp: usuários devem estar alertas para links, arquivos ou solicitações incomuns via WhatsApp — mesmo quando vierem de contatos conhecidos.
-
Proteção e atualização de software: manter o sistema operacional, antivírus e outras ferramentas de segurança atualizados para detectar componentes maliciosos, como aquele instalador Delphi usado pelo trojan.
-
Uso de ferramentas de detecção de malware avançadas: considerar soluções que façam análise comportamental ou detectem trojans bancários e worms, não apenas por assinaturas estáticas.
-
Educação do usuário: promover campanhas de conscientização sobre golpes via mensagens, phishing e instalação de programas suspeitos enviados por WhatsApp. O usuário deve entender que receber um arquivo por WhatsApp pode ser tão perigoso quanto por e-mail.
-
Política de segurança bancária: bancos devem reforçar a vigilância sobre comportamentos suspeitos nas contas dos clientes, alertar sobre malware e eventualmente oferecer suporte para vítimas de infecções via celular ou desktop.
Conclusão
A campanha do Eternidade Stealer mostra como o WhatsApp, uma das plataformas mais usadas no Brasil, pode se tornar o vetor preferido para cibercriminosos muito sofisticados. Com técnicas automatizadas, personalização contextual e capacidade de persistência, esse tipo de malware representa um perigo real para clientes de bancos importantes como Itaú, Caixa e Santander. Para mitigar essa ameaça, é necessário um esforço conjunto: usuários bem informados, ferramentas de segurança avançadas e respostas proativas por parte das instituições financeiras. A resiliência digital depende não só de tecnologia, mas também de comportamento e cultura de segurança.
Referência bibliográfica
Canaltech. “Clientes do Itaú, Caixa e Santander são alvos de novo malware do WhatsApp.” Canaltech, 2025. Disponível em: https://canaltech.com.br/seguranca/clientes-do-itau-caixa-e-santander-sao-alvos-de-novo-malware-do-whatsapp/ Canaltech
