Triste y desagradable: el troyano Banana RAT paraliza ordenadores y vacía cuentas bancarias
Estafadores reúnen una combinación poco habitual de técnicas que aprovechan la confianza, la prisa y la rutina diaria
Los troyanos bancarios dejaron de ser hace tiempo un simple robo de contraseñas. La nueva operación Banana RAT muestra cómo los estafadores combinan la instalación oculta, el control remoto del equipo y el engaño sobre la interfaz bancaria para realizar transferencias casi en tiempo real.
Los especialistas de Trend Micro investigaron la campaña contra el sector financiero de Brasil y vincularon la actividad maliciosa con el clúster SHADOW-WATER-063. Los investigadores obtuvieron una visión poco habitual del ataque desde dos frentes: las herramientas de servidor de los operadores y los datos procedentes de los dispositivos infectados.
La infección comenzaba con un anzuelo por WhatsApp o una página de phishing. A la víctima se le ofrecía descargar el archivo Consultar_NF-e.bat, disfrazado de factura electrónica. Al ejecutarlo, un comando de PowerShell descargaba el siguiente componente, ocultaba la ventana y ejecutaba el código en memoria, sin guardar la versión descifrada en el disco.
En el lado de los operadores funcionaba un servicio basado en FastAPI, que preparaba por adelantado entre 100 y 200 compilaciones únicas. Cada solicitud recibía una nueva variante de payload.php, por lo que la detección por hashes perdía sentido. Para el camuflaje se usaban varios niveles de ofuscación, AES-256-CBC y la sustitución de nombres de variables, funciones y tipos de .NET.
Tras su ejecución, Banana RAT instalaba una tarea oculta en Windows, abría un canal de comunicación con el servidor de control y daba al operador acceso a la pantalla, al teclado, al ratón y a los archivos. El código malicioso podía registrar pulsaciones de teclas, sustituir datos en el portapapeles, mostrar ventanas bancarias y del sistema falsas, y también bloquear la entrada mientras el atacante realizaba acciones en el equipo de la víctima.
Un módulo separado estaba diseñado para Pix, el sistema brasileño de pagos instantáneos. El troyano buscaba códigos QR en la pantalla, los reconocía mediante ZXing.NET y permitía al operador intervenir en el proceso de pago. La lista de objetivos incluía solo bancos brasileños y exchanges locales de criptomonedas, entre ellos Bradesco, Itaú, Santander Brasil, Caixa y Banco do Brasil.
TrendAI vincula Banana RAT con operadores de habla portuguesa de Brasil con un nivel de confianza moderado. A esta hipótesis apuntan el idioma del código y de las interfaces, el nombre interno 'Projeto Banana', la orientación a Pix y el conjunto de organizaciones financieras. En su comportamiento el troyano se asemeja al ecosistema Tetrade, pero se diferencia en la arquitectura: en lugar de los típicos componentes Delphi se usa un cliente PowerShell y un generador de compilaciones únicas en el servidor.