Os trojans bancários continuam entre as ameaças digitais mais perigosas da atualidade, e os relatórios mais recentes da indústria de cibersegurança mostram que os criminosos estão cada vez mais sofisticados. Campanhas recentes envolvendo o Grandoreiro no Windows e o novo BTMOB RAT no Android revelam uma mudança preocupante no cenário das ameaças: agora os ataques usam técnicas avançadas de camuflagem, engenharia social e controle remoto quase invisível para roubar dados financeiros e acessar contas bancárias.
O que torna esse cenário ainda mais alarmante é que essas campanhas não dependem apenas de falhas técnicas. Os criminosos exploram principalmente o comportamento humano, simulando atualizações legítimas, páginas falsas da Google Play Store, chamadas de vídeo e notificações aparentemente confiáveis. Em muitos casos, basta um clique errado para abrir as portas do dispositivo para invasores.
Relatórios recentes divulgados por empresas como WatchGuard e ESET mostram que os operadores desses malwares aprenderam com operações policiais anteriores e adaptaram rapidamente suas estratégias. O resultado é um ecossistema criminoso mais resiliente, distribuído e difícil de detectar, afetando usuários domésticos, empresas e até profissionais de TI.
O retorno estratégico do Grandoreiro no Windows
O Grandoreiro é um dos trojans bancários mais conhecidos originados na América Latina. Mesmo após ações policiais internacionais e prisões de integrantes em 2024, o malware voltou com campanhas ainda mais sofisticadas, demonstrando como grupos cibercriminosos conseguem se reorganizar rapidamente.
As novas variantes identificadas utilizam Delphi 11, uma linguagem e ambiente de desenvolvimento modernos que ajudam o malware a escapar de mecanismos tradicionais de detecção. Além disso, os criminosos passaram a usar sistemas de verificação com CAPTCHA, dificultando análises automatizadas feitas por sandboxes e ferramentas de segurança.
Na prática, o malware tenta garantir que apenas vítimas reais executem o código malicioso. Isso reduz o risco de exposição antecipada da campanha e aumenta o tempo de vida útil do ataque.
Outro ponto importante é que o Grandoreiro continua altamente focado em roubo financeiro. Ele monitora acessos bancários, intercepta credenciais, manipula sessões e pode até realizar operações fraudulentas remotamente.
Camuflagem em tráfego de videoconferência
Uma das técnicas mais impressionantes observadas nas novas campanhas do trojan Grandoreiro envolve a camuflagem do tráfego malicioso em conexões que parecem chamadas de vídeo legítimas.
Os operadores passaram a abusar de componentes como libwebp.dll e protocolos de comunicação usados em aplicações modernas de videoconferência, incluindo STUN, ICE e fluxos baseados em WebRTC. Em termos simples, o malware faz o tráfego roubado parecer semelhante ao utilizado por plataformas como Zoom, Microsoft Teams e Google Meet.
Essa técnica dificulta o trabalho de firewalls e ferramentas tradicionais de monitoramento de rede, já que o fluxo de dados aparenta ser apenas uma chamada de vídeo comum. Em ambientes corporativos, onde aplicações de videoconferência são amplamente utilizadas, esse tipo de camuflagem pode passar despercebido por longos períodos.
Além disso, muitos administradores evitam bloquear esse tipo de tráfego para não comprometer reuniões e operações empresariais. Os criminosos sabem disso e exploram exatamente essa confiança operacional.
O uso de protocolos legítimos para esconder atividades maliciosas mostra como os malwares financeiros estão migrando de técnicas simples para estratégias extremamente profissionais.
O golpe da falsa atualização do Adobe Reader
Outra campanha recente do Grandoreiro utiliza um velho truque que continua funcionando: falsas atualizações de softwares populares.
Nesse caso, as vítimas recebem e-mails de phishing informando sobre supostas atualizações críticas do Adobe Reader. Os links direcionam os usuários para arquivos ZIP hospedados em plataformas conhecidas, como MediaFire, aumentando a sensação de legitimidade.
Dentro do arquivo compactado existem scripts altamente ofuscados, criados para evitar detecção por antivírus. Assim que o usuário executa o conteúdo, o malware inicia uma cadeia de infecção silenciosa que instala o trojan bancário no sistema Windows.
O ataque normalmente inclui:
- Scripts PowerShell ofuscados
- Downloads adicionais em segundo plano
- Persistência automática no sistema
- Comunicação remota com servidores criminosos
- Roubo de dados bancários e credenciais
O fator mais perigoso desse modelo é a confiança do usuário. Muitas pessoas associam nomes conhecidos, como Adobe, a segurança e legitimidade. Os criminosos exploram exatamente essa percepção psicológica.
BTMOB RAT: O perigo em formato APK para Android
Enquanto o Grandoreiro continua evoluindo no Windows, o ecossistema Android enfrenta a ascensão do BTMOB RAT, um malware extremamente agressivo voltado para controle remoto e roubo financeiro.
O BTMOB vem sendo apontado como sucessor de famílias perigosas como o CraxsRAT, adotando um modelo de operação conhecido como Malware como Serviço (MaaS). Nesse formato, desenvolvedores criam a plataforma criminosa e “alugam” o malware para outros cibercriminosos mediante pagamento.
Isso reduz drasticamente a barreira técnica para golpes digitais. Um criminoso sem grande conhecimento pode simplesmente adquirir acesso ao painel do malware e iniciar campanhas massivas.
O BTMOB é distribuído principalmente como arquivos APK maliciosos, geralmente disfarçados de aplicativos legítimos, atualizações falsas ou lojas alternativas.
O perigo do abuso dos serviços de acessibilidade
O principal diferencial do BTMOB RAT é o abuso dos Serviços de Acessibilidade do Android, um recurso originalmente criado para ajudar pessoas com deficiência visual, motora ou cognitiva.
Os criminosos criam páginas falsas extremamente parecidas com a Google Play Store para convencer a vítima a instalar o APK manualmente. Após a instalação, o malware solicita permissões de acessibilidade alegando funções aparentemente inocentes.
Quando o usuário concede acesso, o cenário muda completamente.
O malware passa a conseguir:
- Ler textos exibidos na tela
- Capturar senhas digitadas
- Simular toques automaticamente
- Aprovar permissões sozinho
- Interceptar códigos MFA e SMS
- Controlar aplicativos bancários
- Executar ações remotas invisíveis
Na prática, o invasor ganha quase controle total do dispositivo.
O mais preocupante é que muitos usuários não entendem o impacto dessas permissões. Como o Android apresenta avisos técnicos complexos, criminosos usam engenharia social para induzir cliques rápidos sem leitura cuidadosa.
Esse tipo de ataque mostra que os trojans bancários modernos não dependem apenas de falhas no sistema operacional. Eles exploram permissões legítimas concedidas pelo próprio usuário.
Um mercado clandestino altamente lucrativo
O crescimento do BTMOB RAT também revela como o cibercrime se tornou um mercado profissionalizado.
Pesquisadores apontam que o desenvolvedor conhecido como EVLF cobrava valores elevados pelo acesso ao kit criminoso, oferecendo inclusive suporte técnico, atualizações e recursos premium para operadores maliciosos.
Após vazamentos de partes do código-fonte, especialistas passaram a alertar para um possível aumento de campanhas derivadas do BTMOB. Isso acontece porque outros criminosos conseguem reutilizar o código vazado para criar novas variantes.
O impacto pode ser enorme:
- Expansão rápida das campanhas
- Novos APKs maliciosos
- Golpes mais baratos para criminosos
- Maior dificuldade de rastreamento
- Aumento de ataques automatizados
Essa industrialização do malware mostra que o cenário atual vai muito além de hackers isolados. Hoje existe uma verdadeira cadeia econômica clandestina especializada em fraudes digitais.
Como se proteger dessas ameaças avançadas
A evolução dos trojans bancários exige mudanças práticas no comportamento digital dos usuários. Apenas instalar um antivírus já não é suficiente.
Algumas medidas simples podem reduzir drasticamente os riscos:
Nunca instale APKs fora da Play Store oficial
Evite aplicativos enviados por WhatsApp, Telegram, e-mail ou sites desconhecidos. Mesmo páginas visualmente parecidas com a Play Store podem ser falsas.
Desconfie de atualizações recebidas por e-mail
Empresas legítimas raramente enviam atualizações diretas em arquivos ZIP. Sempre acesse o site oficial manualmente.
Revise permissões de acessibilidade regularmente
No Android, verifique frequentemente quais aplicativos possuem acesso aos Serviços de Acessibilidade. Se um app desconhecido estiver ativado, remova imediatamente.
Mantenha Windows e Android atualizados
Atualizações corrigem falhas exploradas por malware. Ignorar patches de segurança aumenta significativamente o risco de infecção.
Use autenticação multifator
Mesmo que uma senha seja roubada, o MFA pode impedir acessos não autorizados.
Observe sinais incomuns no aparelho
Consumo excessivo de bateria, lentidão repentina, aplicativos desconhecidos e notificações estranhas podem indicar comprometimento.
Utilize soluções de segurança confiáveis
Ferramentas modernas de proteção conseguem detectar comportamentos suspeitos, mesmo quando o malware tenta esconder o tráfego.
A nova geração dos trojans bancários exige vigilância constante
Os casos do Grandoreiro e do BTMOB RAT deixam claro que o cenário de ameaças digitais mudou profundamente. Os criminosos não dependem mais apenas de arquivos maliciosos simples ou técnicas ultrapassadas. Hoje eles utilizam camuflagem avançada, protocolos legítimos, engenharia social refinada e abuso de recursos oficiais dos sistemas operacionais.
Isso significa que a segurança digital moderna depende tanto de tecnologia quanto de conscientização do usuário.
Para usuários de Windows, Android, Linux e sistemas abertos, entender como essas campanhas funcionam é essencial para evitar prejuízos financeiros e vazamentos de dados pessoais.
Compartilhe este alerta com amigos, familiares e colegas de trabalho. Quanto maior a conscientização sobre os trojans bancários, menor será o espaço para campanhas maliciosas se espalharem silenciosamente.
