O conhecido Trojan bancário Coyote, capaz de atacar dezenas de aplicativos bancários e de criptomoedas, recebeu uma atualização com a qual agora monitora o trabalho com esses serviços por meio de navegadores.
Fonte da imagem: Xavier Cee / unsplash.com
Especialistas em segurança cibernética da Akamai alertaram pela primeira vez sobre o perigo representado pelo Coyote em dezembro de 2024. Em versões anteriores, o trojan salvava registros de teclas digitadas no teclado ou exibia janelas de autorização falsas sobrepostas às reais para roubar dados de aplicativos bancários e de criptomoedas. Até recentemente, o Coyote não funcionava ao acessar esses serviços por meio de um navegador, mas na atualização mais recente, esse recurso também foi disponibilizado — o malware recebeu suporte para a estrutura Microsoft UI Automation (UIA).
A UIA foi projetada para implementar recursos de acessibilidade — a estrutura ajuda um aplicativo a interagir com outro. Isso é útil para leitores de tela ou testes automatizados — permite que os aplicativos “vejam” botões, menus e outros elementos de interface dos programas-alvo, cliquem neles e leiam o texto na tela. Com o suporte da UIA, o Coyote lê endereços da web em guias do navegador e os compara com uma lista estática de 75 serviços-alvo; assim que uma correspondência é encontrada, o Trojan usa a mesma estrutura para analisar os elementos da interface do usuário no recurso.
A variante Coyote descoberta pelos especialistas da Akamai tem como alvo principalmente usuários brasileiros e bancos que operam no país; mas também tem como alvo exchanges de criptomoedas, incluindo Binance, Electrum, Bitcoin e Foxbit, tornando o Trojan uma ameaça para usuários no mundo todo.