Países de língua portuguesa e espanhola alvos de trojan bancário Numando

Numando é o nome do trojan bancário que captou a atenção da Eset, que tem como alvo principal o Brasil, mas também outros países de língua portuguesa e espanhola, incluindo Portugal. Segundo a empresa em comunicado enviado à redação, o Numando é semelhante a outras famílias de malware do mesmo género, recorrendo a janelas falsas, funcionalidades de backdoor e abuso de serviços públicos como o YouTube para armazenar a sua configuração remota.

Os cibercriminosos da variante de malware estão ativos desde pelo menos 2018 e “embora o Numando não esteja ao nível de atividade de outros trojans como o Mekotio ou Grandoreiro, tem sido consistentemente utilizado desde que o começámos a monitorizar, trazendo novas e interessantes técnicas ao conjunto de truques dos trojan bancários cujos alvos são países de língua portuguesa e espanhola”, completa Jakub Souček, coordenador da equipa Eset que analisou o trojan.

Segundo a empresa, as capacidades de backdoor do Numando permitem-lhe simular ações de rato e teclado, reiniciar e desligar a máquina infetada, exibir janelas falsas, tirar capturas de ecrã e fechar processos do browser, recorrendo a janelas falsas para roubar dados sensíveis das suas vítimas. 

Contudo, o Numando, distribuído quase exclusivamente por spam, apresenta uma nova técnica que utiliza arquivos ZIP aparentemente inúteis ou imagens BMP anormalmente grandes para esconder a carga maliciosa. Estes arquivos ou ficheiros BMP parecem ser legítimos à primeira vista, e as imagens até podem ser abertas num visualizador sem apresentar erros. 

Como outros trojans bancários do mesmo tipo, o Numando aproveita-se de serviços públicos para armazenar a sua configuração remota, YouTube e Pastebin. Com base no alerta da Eset, a Google já tomou providências e removeu os vídeos do Youtube em questão.