A campanha conhecida como Boto Cor-de-Rosa revelou uma nova e preocupante estratégia de disseminação do Astaroth, um trojan bancário amplamente ativo no Brasil. Diferente de ataques tradicionais baseados apenas em e-mails maliciosos, essa operação utiliza o WhatsApp como canal de propagação, explorando a confiança entre contatos para ampliar rapidamente o alcance da infecção. Esse comportamento fez com que a ameaça passasse a ser popularmente associada ao termo vírus do WhatsApp, embora tecnicamente se trate de um malware bancário que se espalha por meio do aplicativo.
O risco é elevado porque o WhatsApp, ao contrário do e-mail, é percebido como um ambiente mais seguro e pessoal. Quando uma mensagem maliciosa chega a partir de um contato conhecido, as chances de interação aumentam drasticamente, tornando o trojan bancário no Brasil ainda mais eficaz e difícil de conter.
O que é o malware Astaroth e a campanha Boto Cor-de-Rosa
O Astaroth, também identificado como Guildma, é um trojan bancário modular que atua há anos na América Latina, com foco recorrente em instituições financeiras brasileiras. Seu objetivo é claro, capturar credenciais bancárias, dados de autenticação e informações sensíveis relacionadas a transações financeiras.
A campanha Boto Cor-de-Rosa representa uma evolução relevante dessa ameaça. Pesquisadores de segurança identificaram que os operadores do Astaroth passaram a investir em vetores de ataque mais diretos e sociais, utilizando aplicativos de mensagens para substituir, ou complementar, campanhas de phishing por e-mail. Esse movimento ampliou a visibilidade da ameaça e reforçou o uso do termo Astaroth em alertas de segurança, ainda que o WhatsApp não seja explorado por falha própria.
O nome da campanha faz referência a iscas temáticas adaptadas ao contexto brasileiro, aumentando o engajamento das vítimas e reforçando o caráter regional do malware Boto Cor-de-Rosa.
Imagem: TheHackerNews
Como o Astaroth passou a se espalhar usando o WhatsApp
O mecanismo de infecção começa com o envio de um arquivo compactado em formato ZIP por meio do WhatsApp. Esse arquivo normalmente é acompanhado de mensagens curtas, genéricas e automáticas, simulando documentos, imagens ou avisos comuns do dia a dia. Ao extrair o conteúdo, o usuário executa um script em Visual Basic, que inicia o processo de comprometimento do sistema.
Esse script funciona como um estágio inicial do ataque. Ele prepara o ambiente, ignora controles básicos de segurança e baixa os módulos principais do Astaroth. O diferencial dessa campanha está na introdução de um módulo escrito em Python, responsável por interagir diretamente com o ambiente do navegador.
A partir dessa etapa, o malware consegue acessar sessões ativas do WhatsApp Web. Com isso, ele lê a lista de contatos e envia automaticamente o mesmo arquivo malicioso para essas pessoas. Esse comportamento explica por que o vírus do WhatsApp Astaroth se espalha rapidamente, sempre explorando relações de confiança reais entre usuários.
A evolução técnica: Da base em Delphi para módulos em Python
Tradicionalmente, o Astaroth foi desenvolvido com forte dependência de Delphi, linguagem bastante comum em trojans bancários clássicos. No entanto, a campanha Boto Cor-de-Rosa evidencia uma transição estratégica para uma arquitetura mais flexível e moderna, com o uso crescente de Python.
Essa mudança traz vantagens importantes para os atacantes. O Python permite desenvolvimento rápido, fácil manutenção e integração com bibliotecas capazes de automatizar tarefas complexas, como controle de navegador, manipulação de arquivos e comunicação com servidores remotos. Além disso, scripts em Python podem ser ofuscados e atualizados com frequência, dificultando a detecção por soluções de segurança tradicionais.
Essa evolução técnica mostra que o trojan bancário no Brasil continua ativo, sofisticado e alinhado às práticas modernas de desenvolvimento de malware.
Os riscos reais para usuários e contas bancárias
Após a infecção, o Astaroth passa a monitorar o comportamento do usuário de forma contínua. O foco principal são acessos a bancos, cooperativas de crédito, fintechs e plataformas de pagamento. O malware identifica quando um site financeiro é aberto e, nesse momento, pode capturar credenciais digitadas, dados de autenticação e outras informações sensíveis.
Outro recurso comum é a sobreposição de telas falsas sobre páginas legítimas, induzindo a vítima a fornecer dados adicionais. Esse tipo de técnica torna o vírus do WhatsApp especialmente perigoso, pois atua de forma silenciosa e direcionada.
Além dos prejuízos financeiros diretos, há riscos associados ao roubo de identidade, uso indevido de contas e comprometimento de dados pessoais. Em ambientes corporativos, uma única máquina infectada pode servir como ponto de partida para incidentes mais amplos.
Como se proteger de trojans que usam o WhatsApp como vetor
A segurança no WhatsApp depende principalmente de atenção e boas práticas digitais. Arquivos recebidos sem contexto claro, mesmo quando enviados por contatos conhecidos, devem ser tratados com cautela. Mensagens automáticas, genéricas ou que induzem urgência são sinais claros de alerta.
Manter o sistema operacional, navegadores e soluções de segurança sempre atualizados é fundamental. Atualizações corrigem falhas exploradas por malwares e reduzem a superfície de ataque. Também é recomendável evitar o uso do WhatsApp Web em computadores compartilhados ou sem proteção adequada.
Soluções de segurança com análise comportamental são mais eficazes contra ameaças modernas como o Astaroth, especialmente quando ele utiliza linguagens como Python e técnicas de propagação automatizada.
Conclusão
A campanha Boto Cor-de-Rosa deixa claro que o crime cibernético no Brasil segue em constante evolução. Embora popularmente chamado de vírus do WhatsApp, o Astaroth é, na prática, um trojan bancário sofisticado que se aproveita do WhatsApp como meio de disseminação, explorando confiança social e automação.
Esse cenário reforça a importância da conscientização digital e da adoção de boas práticas de segurança. Informar, compartilhar alertas e desconfiar de anexos inesperados são medidas essenciais para conter a propagação de ameaças cada vez mais adaptadas ao comportamento dos usuários brasileiros.
