Cada vez os utilizadores utilizam mais os seus computadores e smartphones para as operações bancárias. Pagamentos, transferências, consultas de saldo e carregamentos, são operações do dia a dia e é esse tipo de alvo que o malware Numando quer atacar.
Segundo a empresa de segurança ESET, este trojan bancário afeta principalmente o Brasil, mas também outros países de língua portuguesa e espanhola, incluindo Portugal.
Malware procura atacar as contas bancárias dos utilizadores
O Numando é semelhante a outras famílias de malware do mesmo género, que recorrem a janelas falsas, funcionalidade de backdoor e abuso de serviços públicos como o YouTube para armazenar a sua configuração remota.
Os cibercriminosos por detrás desta família de malware estão ativos desde pelo menos 2018.
Embora o Numando não esteja ao nível de atividade de outros trojans como o Mekotio ou Grandoreiro, tem sido consistentemente utilizado desde que o começámos a monitorizar, trazendo novas e interessantes técnicas ao conjunto de truques dos trojan bancários cujos alvos são países de língua portuguesa e espanhola.
Disse Jakub Souček, coordenador da equipa ESET que analisou o Numando.
Trojan que fica com “acesso completo” ao computador
As capacidades de backdoor do Numando permitem-lhe simular ações do rato e teclado, reiniciar e desligar a máquina infetada, exibir janelas falsas, tirar capturas de ecrã e fechar processos do browser. O malware recorre a janelas falsas para roubar dados sensíveis das suas vítimas.
No que toca a técnicas novas, o Numando usa ficheiros ZIP aparentemente inúteis ou imagens BMP anormalmente grandes que estão armazenadas num ZIP criptografado dentro das suas secções .rsrc para esconder a carga maliciosa. Estes ficheiros BMP parecem ser legítimos à primeira vista, e as imagens até podem ser abertas num visualizador sem apresentar erros.
Este tipo de malware, como o Numando, é distribuído quase exclusivamente por spam. Assim, sempre que desconfiar que algum email não lhe é familiar, das suas relações sociais ou profissionais, mantenha o alerta para estes indícios.
Como muitos outros trojans bancários do seu tipo, o Numando aproveita-se de serviços públicos para armazenar a sua configuração remota, YouTube e Pastebin neste caso. A Google removeu os vídeos do YouTube em questão com base no alerta da ESET.
Conclusão
Portanto, Numando é um trojan bancário latino-americano escrito em Delphi. Ele tem como alvo principalmente o Brasil, Portugal, Espanha e outros países de língua espanhola.
Conforme já foi referido, e para sintetizar, este malware é semelhante às outras famílias descritas do mesmo naipe – usa janelas de sobreposição falsa, contém funcionalidade backdoor e utiliza MSI.