A cibersegurança brasileira enfrenta uma nova escalada de ameaças, com o trojan bancário esplorado via WhatsApp no Brasil, uma expressão que descreve com precisão o cenário atual de ataques híbridos e altamente sofisticados que miram usuários comuns e profissionais. Duas campanhas distintas, mas igualmente perigosas, têm se destacado pela complexidade, pela engenharia social refinada e pelo foco explícito no ecossistema financeiro nacional. De um lado surge o Water Saci, um grupo já conhecido por ataques bancários, agora equipado com um worm capaz de se espalhar automaticamente pelo WhatsApp no Windows. Do outro lado aparece o RelayNFC, um novo malware para Android projetado para habilitar fraudes de pagamento por aproximação, explorando a técnica de retransmissão NFC.
Essas campanhas revelam um amadurecimento claro no uso de linguagens modernas como Python, no abuso de frameworks multiplataforma como React Native e na adoção de técnicas de evasão avançadas que dificultam a análise, o bloqueio e a identificação pelos sistemas de segurança. Ao mesmo tempo, o alvo permanece consistente: instituições financeiras brasileiras, indicando que os criminosos compreendem a maturidade do sistema bancário local e buscam explorá-lo com ataques mais silenciosos, eficientes e de maior impacto econômico.
Este artigo detalha de maneira técnica e acessível essas duas cadeias de ataque, explica como funcionam seus mecanismos internos, analisa a evolução estratégica por trás do Water Saci e do RelayNFC e, por fim, oferece orientações práticas para que usuários e profissionais reforcem sua proteção diante dessas ameaças.
Water Saci: a sofisticada cadeia de infecção via WhatsApp e a migração para Python
O grupo Water Saci ganhou notoriedade por seu foco constante em malware bancário no Brasil, mas a nova campanha representa um salto qualitativo significativo. O ataque começa com o uso de engenharia social altamente convincente, na qual a vítima recebe, via WhatsApp, um arquivo contaminado que pode ser entregue em diferentes formatos, como HTA ou PDF, ambos já conhecidos por permitirem a execução de código malicioso. A escolha desses formatos reforça a intenção de contornar filtros tradicionais e ameaças mais clássicas baseadas em executáveis comuns.
Ao abrir o arquivo, a vítima desencadeia a execução de scripts que fazem parte da nova coreografia planejada pelo grupo. Antes dependente de comandos PowerShell, o Water Saci agora adota Python como peça central da infecção. Essa mudança representa não apenas uma evolução técnica, mas possivelmente o uso de ferramentas de automação auxiliadas por inteligência artificial, que facilitam ajustes rápidos e a criação de scripts mais difíceis de detectar ou analisar. A migração para Python também sugere um movimento de alinhamento com outras famílias avançadas de trojans latino-americanos.
A nova coreografia de infecção e a possível influência da IA
O novo fluxo de infecção inicia com o download de componentes escritos em Python, frequentemente empacotados com utilitários como PyInstaller e acompanhados de módulos de automação como Selenium. Isso permite que o malware realize ações em navegadores, simule comportamentos humanos e colete informações de maneira silenciosa. Essa automação se aproxima funcionalmente de trojans conhecidos, como o Casbaneiro e o Metamorfo, que usam estratégias semelhantes para manipular janelas e interfaces bancárias.
O worm do Water Saci também exibe uma característica crítica: sua capacidade de se propagar automaticamente pelo WhatsApp. Ele acessa diretórios locais, extrai listas de contatos e dispara mensagens contendo o mesmo arquivo malicioso, perpetuando a cadeia de infecção sem depender da ação repetida do operador. É essa característica que transforma o ataque em um potencial incidente de escala nacional, ampliando o impacto com rapidez e reduzindo o tempo para resposta e detecção.
O trojan bancário em AutoIt e as agressivas checagens de sistema
Superada a fase inicial de infecção, o Water Saci instala um trojan bancário em AutoIt, linguagem historicamente popular entre grupos latino-americanos por sua facilidade de empacotamento e baixa detecção. Este módulo é responsável pelas atividades mais sensíveis, incluindo monitoramento, coleta e manipulação de credenciais.
Uma das primeiras etapas executadas pelo trojan inclui agressivas checagens de sistema, como verificar se o idioma da máquina está configurado para português (Brasil) e confirmar se a vítima realmente pertence ao público-alvo desejado. Caso a verificação falhe, o malware frequentemente encerra a execução ou opera de forma limitada, reduzindo o risco de análise por pesquisadores internacionais.
Entre suas funcionalidades, destacam-se o monitoramento de processos relacionados a aplicativos bancários, o roubo de credenciais e a injeção de código em processos legítimos, como o svchost.exe, técnica projetada para maximizar furtividade. A persistência, por sua vez, é obtida por meio de chaves de registro e agendamentos de tarefa no próprio Windows, garantindo que o trojan continue ativo mesmo após reinicializações.
RelayNFC: a nova ameaça Android e a fraude por retransmissão NFC
Enquanto o Water Saci opera no Windows, o RelayNFC chega ao Android com uma estratégia completamente diferente e com foco na chamada fraude por retransmissão NFC, uma técnica avançada que busca enganar terminais de pagamento sem que a vítima perceba. A distribuição do RelayNFC ocorre principalmente por meio de phishing, páginas falsas ou aplicativos hospedados em domínios fraudulentos que simulam atualizações de sistemas, carteiras digitais ou serviços financeiros populares.
O RelayNFC é construído usando React Native, e seu código malicioso é distribuído em Hermes bytecode, formato otimizado que dificulta a engenharia reversa e torna a análise manual mais trabalhosa. Esse design também facilita a execução em múltiplas versões de Android com menos modificações, ampliando o alcance do ataque.
Como funciona a fraude de retransmissão NFC (NFC Relay Fraud)
A técnica de retransmissão NFC é uma das mais sofisticadas no contexto de fraudes de pagamento. Em vez de clonar um cartão físico, ela cria uma ponte remota entre o smartphone da vítima (que contém um cartão legítimo cadastrado) e o dispositivo do criminoso, que realiza transações à distância.
O RelayNFC atua interceptando e retransmitindo APDUs, que são os comandos e respostas trocados entre o cartão físico e o terminal de pagamento. Para isso, o malware estabelece uma comunicação criptografada via WebSocket, ligando o aparelho infectado a um servidor controlado pelo operador criminoso. Quando esse operador aproxima seu próprio dispositivo de um terminal de pagamento real, o servidor transmite os comandos para o celular da vítima, que responde como se estivesse sendo utilizado localmente.
O resultado é uma transação legítima do ponto de vista técnico, mas totalmente fraudulenta, já que ocorre sem a presença física da vítima. Esta técnica, embora complexa de implementar, demonstra um nível de profissionalismo incomum, além de um claro foco no ambiente bancário brasileiro, onde pagamentos por aproximação vêm crescendo rapidamente.
Conclusão e como se proteger das ameaças
As campanhas do Water Saci e do RelayNFC comprovam que o Brasil continua sendo um dos principais alvos de ameaças financeiras sofisticadas. Com o uso de linguagens modernas, automação, engenharia social e abusos de recursos nativos tanto do Windows quanto do Android, esses grupos ampliam seu alcance e aumentam a dificuldade de detecção.
Para o usuário final, a principal recomendação é evitar abrir anexos recebidos pelo WhatsApp, especialmente arquivos HTA, PDF, ZIP ou executáveis de qualquer natureza. Também é importante manter o Windows e o Android sempre atualizados e desconfiar de aplicativos instalados fora das lojas oficiais. Pelo lado dos pagamentos móveis, qualquer solicitação inesperada de PIN, alertas de NFC, telas de permissão e comportamentos estranhos deve ser tratada como suspeita, especialmente se ocorrer em momentos em que o usuário não está realizando pagamentos.
Profissionais de TI e equipes de segurança devem reforçar a análise comportamental, monitoramento de tráfego e inspeção de padrões de automação em navegadores, além de revisar regras de bloqueio para execução de scripts Python empacotados e artefatos AutoIt. A conscientização contínua e o investimento em ferramentas de detecção de ameaças emergentes serão essenciais nos próximos meses, dado o nível de complexidade atingido por essas campanhas.
