Cada vez mais os utilizadores utilizam os seus computadores e smartphones para as operações bancárias. Pagamentos, transferências, consultas de saldo e carregamentos, são operações do dia a dia e é esse tipo de alvo que o malware Numando quer atacar.

Este trojan bancário afeta principalmente o Brasil, mas também outros países de língua portuguesa e espanhola, incluindo Portugal.

Imagem malware bancário

Malware procura atacar as contas bancárias dos utilizadores

O Numando é semelhante a outras famílias de malware do mesmo género, que recorrem a janelas falsas, funcionalidade de backdoor e abuso de serviços públicos como o YouTube para armazenar a sua configuração remota.

Os cibercriminosos por detrás desta família de malware estão ativos desde pelo menos 2018.

Trojan que fica com “acesso completo” ao computador

As capacidades de backdoor do Numando permitem-lhe simular ações do rato e teclado, reiniciar e desligar a máquina infetada, exibir janelas falsas, tirar capturas de ecrã e fechar processos do browser. O malware recorre a janelas falsas para roubar dados sensíveis das suas vítimas.

No que toca a técnicas novas, o Numando usa ficheiros ZIP aparentemente inúteis ou imagens BMP anormalmente grandes que estão armazenadas num ZIP criptografado dentro das suas secções .rsrc para esconder a carga maliciosa. Estes ficheiros BMP parecem ser legítimos à primeira vista, e as imagens até podem ser abertas num visualizador sem apresentar erros.

Este tipo de malware, como o Numando, é distribuído quase exclusivamente por spam. Assim, sempre que desconfiar que algum email não lhe é familiar, das suas relações sociais ou profissionais, mantenha o alerta para estes indícios.

Como muitos outros trojans bancários do seu tipo, o Numando aproveita-se de serviços públicos para armazenar a sua configuração remota, YouTube e Pastebin neste caso. A Google removeu os vídeos do YouTube em questão.