Portugal é um dos países afetados por novo malware que ataca aplicações bancárias

Investigação revela que o ‘troiano’ designado “Mekotio” simula uma atualização de segurança e é capaz de roubar bitcoins e credenciais de acesso.

Investigadores da empresa de cibersegurança ESET têm estado atentos a um malware do tipo “troiano” especificamente criado para atacar aplicações bancárias em língua Portuguesa e Espanhola. Batizado “Mekotio”, este malware afeta sobretudo países latinos como o Brasil, Chile, México, Espanha, Peru e Portugal.

Uma vez infetado o computador, o Mekotio executa diversas atividades em segundo plano, incluindo tirar imagens do ecrã (screenshots), reiniciar as máquinas afetadas, restringir o acesso a websites de banca online legítimos e, nalgumas variantes, até mesmo roubar bitcoins e credenciais guardadas pelo browser Chrome.

O Mekotio tem estado ativo desde pelo menos 2015 e, tal como outros troianos bancários investigados pela ESET, partilha características comuns com este tipo de malware, designadamente o facto de ter sido escrito em Delphi, usar janelas pop-up falsas e conter funcionalidades de “backdoor”. De forma a parecer menos suspeito, o Mekotio tenta disfarçar-se de uma atualização de software usando uma mensagem numa janela específica.

Há muito detalhes técnicos que o Mekotio é capaz de recolher das suas vítimas, incluindo informação sobre a configuração da firewall do computador, privilégios de administração, qual a versão do Windows da máquina infetada, e uma lista de produtos anti-fraude e antimalware eventualmente instalados. Um dos comandos usados pelo malware é capaz de desativar a máquina da vítima ao tentar remover todos os ficheiros e pastas do diretório C:\Windows.

“Para os investigadores, a funcionalidade mais notável das variantes recentes desta família de malware é a sua utilização de uma base de dados SQL database como um servidor C&C [“comand & control”] e a forma como é capaz de abusardo interpretador AutoIt legítimo como o seu método primário de execução,” explica Robert Šuman, o investigador da ESET que liderou a equipa que analisou o Mekotio.

Este malware é predominantemente distribuído através de spam. Desde 2018, os investigadores da ESET observaram um total de 38 cadeias de distribuição diferentes usadas por esta família de malware. A maioria destas cadeias consiste em vários estágios e terminam com o download de um ficheiro ZIP – um comportamento típico dos troianos bancários que circulam no espaço latino-americano.

“O Mekotio segui um caminho de desenvolvimento de alguma forma caótico, com as suas funcionalidades a serem alteradas frequentemente. Com base nos dados internos relativos às suas versões, a ESET acredita que existem múltiplas variantes que foram desenvolvidas em simultâneo”, concluiu Šuman.