Os usuários estão cada vez mais usando seus computadores e smartphones para operações bancárias. Pagamentos, transferências, consultas de saldos e recargas são operações do dia a dia e é esse tipo de alvo que o malware Numando quer atacar.
De acordo com a empresa de segurança ESET, este trojan bancário afeta principalmente o Brasil, mas também outros países de língua portuguesa e espanhola, incluindo Portugal.
Malware busca atacar as contas bancárias dos usuários
Numando é semelhante a outras famílias de malware do mesmo gênero, que usam janelas falsas, funcionalidade de backdoor e abuso de serviços públicos como o YouTube para armazenar sua configuração remota.
Os cibercriminosos por trás dessa família de malware estão ativos desde pelo menos 2018.
Embora o Numando não esteja no nível de atividade de outros trojans como Mekotio ou Grandoreiro, ele tem sido usado de forma consistente desde que começamos a monitorá-lo, trazendo novas e interessantes técnicas para o conjunto de truques de trojans bancários cujos alvos são os países de língua portuguesa e espanhola. .
Disse Jakub Souček, coordenador de equipa ESET que analisou o Numando.
Trojan que obtém "acesso total" ao computador
Os recursos de backdoor do Numando permitem simular ações do mouse e do teclado, reiniciar e desligar a máquina infectada, exibir janelas falsas, fazer capturas de tela e fechar processos do navegador. O malware usa janelas falsas para roubar dados confidenciais de suas vítimas.
Quando se trata de novas técnicas, o Numando usa arquivos ZIP aparentemente inútil ou imagens BMP anormalmente grandes que são armazenados em um ZIP criptografado em suas seções .rsrc para ocultar a carga maliciosa. Esses arquivos BMP parecem ser legítimos à primeira vista e as imagens podem até ser abertas em um visualizador sem erros.
Esse tipo de malware, como o Numando, é distribuído quase exclusivamente por meio de spam. Por isso, sempre que suspeitar que um e-mail não lhe é familiar, do seu relacionamento social ou profissional, fique atento a esses sinais.
Como muitos outros cavalos de Tróia bancários de seu tipo, Numando aproveita os serviços públicos para armazenar sua configuração remota, YouTube e Pastebin neste caso. O Google removeu os vídeos do YouTube em questão com base no aviso da ESET.
Conclusão
Portanto, Numando é um trojan bancário latino-americano escrito em Delphi. Tem como alvo principal o Brasil, Portugal, Espanha e outros países de língua espanhola.
Como já mencionado, e para resumir, esse malware é semelhante a outras famílias descritas do mesmo naipe - ele usa janelas de sobreposição falsa, contém funcionalidade de backdoor e usa MSI.