A ESET alerta para o trojan bancário Numando que afeta principalmente o Brasil, mas também outros países de língua portuguesa e espanhola, incluindo Portugal. O Numando é semelhante a outras famílias de malware do mesmo género, usando janelas falsas, funcionalidade de backdoor e abuso de serviços públicos como o YouTube para armazenar a sua configuração remota.
Os cibercriminosos por detrás desta família de malware estão ativos desde pelo menos 2018. “Embora o Numando não esteja ao nível de atividade de outros trojans como o Mekotio ou Grandoreiro, tem sido consistentemente utilizado desde que o começámos a monitorizar, trazendo novas e interessantes técnicas ao conjunto de truques dos trojan bancários cujos alvos são países de língua portuguesa e espanhola,” disse Jakub Souček, coordenador da equipa ESET que analisou o Numando.
As capacidades de backdoor do Numando permitem-lhe simular ações de rato e teclado, reiniciar e desligar a máquina infetada, exibir janelas falsas, tirar capturas de ecrã e fechar processos do browser. Ele recorre a janelas falsas para roubar dados sensíveis das suas vítimas.
No que toca a técnicas novas, o Numando usa arquivos ZIP aparentemente inúteis ou imagens BMP anormalmente grandes para esconder a carga maliciosa. Estes arquivos ou ficheiros BMP parecem ser legítimos à primeira vista, e as imagens até podem ser abertas num visualizador sem apresentar erros. O Numando é distribuído quase exclusivamente por spam.
Como muitos outros trojans bancários do seu tipo, o Numando aproveita-se de serviços públicos para armazenar a sua configuração remota, YouTube e Pastebin neste caso. A Google removeu os vídeos YouTube em questão com base no alerta da ESET.
Para mais detalhes técnicos sobre o Numando, por favor consulte este artigo da ESET (em inglês).
