{"id":23535,"date":"2025-11-22T08:00:00","date_gmt":"2025-11-22T11:00:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=23535"},"modified":"2025-11-21T21:02:58","modified_gmt":"2025-11-22T00:02:58","slug":"malware-no-whatsapp","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/11\/exploits\/malware-no-whatsapp\/","title":{"rendered":"Trojan banc\u00e1rio no WhatsApp"},"content":{"rendered":"\n

Malware no WhatsApp mira clientes do Ita\u00fa, Caixa e Santander<\/strong><\/p>\n

Recentemente, especialistas da Trustwave SpiderLabs<\/strong> identificaram um trojan banc\u00e1rio sofisticado sendo disseminado por meio do WhatsApp, com foco em clientes de grandes bancos no Brasil \u2014 especificamente Ita\u00fa<\/strong>, Caixa<\/strong> e Santander<\/strong>. Segundo a an\u00e1lise, a amea\u00e7a foi batizada de Eternidade Stealer<\/strong>, e sua forma de propaga\u00e7\u00e3o e funcionamento representam um risco elevado para usu\u00e1rios e para a integridade de dados financeiros.<\/p>\n

\u00a0<\/p>\n

Como funciona o malware<\/strong><\/p>\n

A campanha maliciosa mistura t\u00e9cnicas avan\u00e7adas: os criminosos usam um worm<\/em> (verme) que se autorreplica dentro do WhatsApp e, simultaneamente, um dropper no formato MSI<\/strong> para instalar componentes mais perigosos. Esse dropper implanta um trojan banc\u00e1rio em Delphi, cuja miss\u00e3o \u00e9 realizar uma varredura no sistema infectado, detectar antiv\u00edrus presentes e descriptografar os payloads maliciosos para executar a\u00e7\u00f5es de roubo de dados sens\u00edveis.<\/p>\n

Al\u00e9m disso, o malware coleta diversas informa\u00e7\u00f5es da v\u00edtima: ele rouba credenciais banc\u00e1rias, dados do sistema, detalhes da lista de contatos e outros elementos que permitem aos criminosos entender o perfil da pessoa atacada e potencializar golpes futuros.<\/p>\n

\u00a0<\/p>\n

Capacidade de automa\u00e7\u00e3o e personaliza\u00e7\u00e3o<\/strong><\/p>\n

Uma das caracter\u00edsticas mais alarmantes desse trojan \u00e9 sua agilidade e automatiza\u00e7\u00e3o. O worm em Python consegue enviar mensagens de forma autom\u00e1tica pelo WhatsApp, ampliando a quantidade de v\u00edtimas em curto espa\u00e7o de tempo.<\/p>\n

Al\u00e9m disso, o malware tem comportamento condicional: ele s\u00f3 \u00e9 ativado em sistemas configurados em portugu\u00eas brasileiro<\/strong>, o que mostra uma adapta\u00e7\u00e3o muito espec\u00edfica para atacar usu\u00e1rios no Brasil. Quando interage com a v\u00edtima, a mensagem enviada \u00e9 personalizada \u2014 pode alterar o nome do remetente, o hor\u00e1rio da mensagem e outros campos para parecer mais leg\u00edtima e convincente, dificultando que a v\u00edtima perceba que se trata de algo malicioso.<\/p>\n

\u00a0<\/p>\n

Dificuldade para remo\u00e7\u00e3o<\/strong><\/p>\n

Outro ponto cr\u00edtico apontado pela Trustwave \u00e9 que o Eternidade Stealer \u00e9 mais persistente do que muitos trojans banc\u00e1rios tradicionais. A estrutura de dropper (instalador) torna a remo\u00e7\u00e3o mais complexa e exige mais esfor\u00e7o por parte da v\u00edtima \u2014 especialmente se ela n\u00e3o tiver ferramentas de seguran\u00e7a robustas ou n\u00e3o souber exatamente onde e como o malware est\u00e1 instalado.<\/p>\n

\u00a0<\/p>\n

Consequ\u00eancias potenciais para usu\u00e1rios e bancos<\/strong><\/p>\n

Para os usu\u00e1rios, o risco \u00e9 grande: al\u00e9m do roubo direto de dados banc\u00e1rios, a invas\u00e3o permite acesso a contatos pessoais, o que pode alimentar campanhas de phishing mais elaboradas. A coleta de informa\u00e7\u00f5es do sistema possibilita que os criminosos planejem ataques futuros mais precisos (como ataques direcionados ou at\u00e9 ransomware).<\/p>\n

Para os bancos-alvo \u2014 Ita\u00fa, Caixa e Santander \u2014, a campanha representa uma amea\u00e7a reputacional e operacional. Se muitos clientes forem infectados, pode haver um impacto direto na confian\u00e7a depositada nas institui\u00e7\u00f5es, al\u00e9m de potenciais preju\u00edzos caso as informa\u00e7\u00f5es roubadas sejam usadas para transfer\u00eancias, fraudes ou autentica\u00e7\u00e3o indevida.<\/p>\n

\u00a0<\/p>\n

Medidas recomendadas para defesa<\/strong><\/p>\n

Como analista de ciberseguran\u00e7a, recomendo as seguintes a\u00e7\u00f5es para mitigar esse tipo de amea\u00e7a:<\/p>\n