Vírus bancário se espalha sozinho pelo WhatsApp no Brasil

Pesquisadores revelaram uma nova campanha maliciosa que utiliza o WhatsApp como vetor de disseminação do trojan bancário Astaroth (também conhecido como Guildma), com foco em vítimas no Brasil. A operação foi batizada de Boto Cor-de-Rosa pela equipe da Acronis Threat Research Unit, que detalhou o funcionamento do ataque em relatório divulgado à imprensa especializada.

De acordo com os pesquisadores, após infectar um computador Windows, o malware coleta a lista de contatos do WhatsApp da vítima e envia automaticamente mensagens maliciosas para cada contato, ampliando a infecção de forma semelhante a um worm. Embora o payload principal do Astaroth continue escrito em Delphi e o instalador utilize scripts em Visual Basic, o novo módulo de propagação via WhatsApp foi desenvolvido inteiramente em Python, evidenciando a evolução técnica e o uso de componentes modulares em múltiplas linguagens por grupos hackers.

Ativo desde 2015, o Astaroth é um malware bancário conhecido por roubo de credenciais e dados financeiros, com histórico de ataques concentrados na América Latina, especialmente no Brasil. Em 2024, diferentes campanhas já haviam explorado phishing por e-mail para sua distribuição. Agora, os hackers passaram a explorar a popularidade massiva do WhatsApp no país, transformando o mensageiro em um canal altamente eficaz para disseminação de trojans bancários.

Essa tática não é isolada. No mês anterior, a Trend Micro descreveu campanhas do grupo Water Saci usando o WhatsApp para espalhar outros malwares bancários. Já a Sophos, em relatório publicado em novembro de 2025, afirmou monitorar a campanha STAC3150, também focada no WhatsApp, na qual mais de 95% das infecções ocorreram no Brasil, com casos residuais nos Estados Unidos e na Áustria.

O método de infecção segue um padrão conhecido, porém eficaz: a vítima recebe um arquivo ZIP por mensagem, extrai o conteúdo e executa um script em Visual Basic disfarçado de arquivo legítimo. Essa ação inicia o download dos estágios seguintes do ataque, incluindo:

um módulo de propagação em Python, que envia automaticamente novos arquivos maliciosos aos contatos do WhatsApp;

e um módulo bancário, que monitora a navegação da vítima e é ativado ao detectar acesso a sites bancários, coletando credenciais para fraude financeira.

Segundo a Acronis, os desenvolvedores do malware também incorporaram um mecanismo de telemetria, capaz de registrar em tempo real métricas como quantidade de mensagens enviadas, falhas de entrega e taxa de propagação por minuto um indicativo claro do nível de sofisticação e profissionalização dos grupos hackers por trás da campanha.