Investigadores da empresa de cibersegurança ESET têm estado atentos a um malware do tipo troiano especificamente criado para atacar aplicações bancárias em língua portuguesa e espanhola. Batipzado de Mekotio, este malware afecta sobretudo países latinos como o Brasil, Chile, México, Espanha, Peru e Portugal.
Uma vez infectado o computador, o Mekotio executa diversas actividades em segundo plano, incluindo tirar imagens do ecrã (screenshots), reiniciar as máquinas afectadas, restringir o acesso a websites de banca online legítimos e, nalgumas variantes, até mesmo roubar bitcoins e credenciais guardadas pelo browser Chrome.
O Mekotio tem estado activo desde pelo menos 2015 e, tal como outros troianos bancários investigados pela ESET, partilha características comuns com este tipo de malware, designadamente o facto de ter sido escrito em Delphi, usar janelas pop-up falsas e conter funcionalidades de “backdoor”. De forma a parecer menos suspeito, o Mekotio tenta disfarçar-se de uma actualização de software usando uma mensagem numa janela específica.
Há muito detalhes técnicos que o Mekotio é capaz de recolher das suas vítimas, incluindo informação sobre a configuração do firewall do computador, privilégios de administração, qual a versão do Windows da máquina infectada, e uma lista de produtos anti-fraude e antimalware eventualmente instalados. Um dos comandos usados pelo malware é capaz de desactivar a máquina da vítima ao tentar remover todos os ficheiros e pastas do directório C:\Windows.
“Para os investigadores, a funcionalidade mais notável das variantes recentes desta família de malware é a sua utilização de uma base de dados SQL database como um servidor C&C [“comand & control”] e a forma como é capaz de abusar do interpretador AutoIt legítimo como o seu método primário de execução,” explica Robert Šuman, o investigador da ESET que liderou a equipa que analisou o Mekotio.
Este malware é predominantemente distribuído através de spam. Desde 2018, os investigadores da ESET observaram um total de 38 cadeias de distribuição diferentes usadas por esta família de malware. A maioria destas cadeias consiste em vários estágios e terminam com o download de um ficheiro ZIP – um comportamento típico dos troianos bancários que circulam no espaço latino-americano.
“O Mekotio segui um caminho de desenvolvimento de alguma forma caótico, com as suas funcionalidades a serem alteradas frequentemente. Com base nos dados internos relativos às suas versões, a ESET acredita que existem múltiplas variantes que foram desenvolvidas em simultâneo”, concluiu Šuman.
