Brazil postaje žarište bankarskih malvera, a nova Android kampanja BeatBanker-a cilja korisnike i van zemlje
Kompanija Kaspersky Global Research and Analysis Team prijavila je da je broj pokušaja infekcije brazilskim bankarskim trojancem GoPix dostigao 90.000 do marta 2026. godine. Ovaj malver, aktivan poslednje tri godine, koristi složene metode napada, uključujući isključivo rad u memoriji, napade “čovek u sredini” i distribuciju putem Google Ads oglašavanja. GoPix cilja korisnike finansijskih institucija i kriptovaluta, prvenstveno u Brazilu, ali stručnjaci upozoravaju na rizik od globalnog širenja.
Prema navodima Kaspersky tima, GoPix koristi Proxy AutoConfig (PAC) fajlove, sofisticirane tehnike prikrivanja i dinamičku procenu IP adresa kako bi identifikovao potencijalno vredne mete. Ako softver proceni da korisnik nije vredan cilj, ne dolazi do isporuke malvera. Zaključno sa martom 2026. godine, registrovano je ukupno 90.000 pokušaja infekcije ovim trojancem, dok je broj detekcija konstantno u porastu iz godine u godinu.
GoPix je u stanju da presreće i manipuliše Pix transakcijama, Boleto uplatnicama i transakcijama kriptovaluta. Malver zaobilazi sigurnosne mehanizme banaka i koristi napredne rutine za čišćenje tragova, čime otežava digitalnu forenziku i reagovanje na incidente. Brazilska kriminalna grupa koja stoji iza GoPix-a koristi tehnike karakteristične za APT grupe, poput učitavanja modula direktno u memoriju i minimizovanja zapisa na disku, kao i upotrebe C2 servera sa kratkim životnim vekom. Softver može prelaziti između procesa i potencijalno onemogućiti bezbednosne aplikacije.
“GoPix je dostigao nivo sofisticiranosti kakav do sada nije viđen kod zlonamernog softvera. Ovu pretnju pratimo od 2023. godine; ona je i dalje veoma aktivna, a broj detekcija stalno raste svake godine: zaključno sa martom 2026. godine već je zabeleženo ukupno 90.000 pokušaja infekcije. Pretnja koristi prikrivene metode infekcije i izbegava detekciju od strane bezbednosnog softvera, primenjujući nove tehnike kako bi ostala operativna”, izjavio je Fabio Asolini, rukovodilac jedinica za Ameriku i Evropu u okviru Kaspersky GReAT.
Kaspersky takođe upozorava na novu Android kampanju u kojoj se malver BeatBanker distribuira pod maskom aplikacije Starlink. Ova kampanja prvenstveno cilja korisnike iz Brazila, ali može ugroziti i korisnike iz drugih zemalja. Trojanac BeatBanker koristi rudar kriptovalute Monero i alat za udaljenu administraciju BTMOB, a za održavanje postojanosti koristi neobičan mehanizam sa gotovo nečujnom audio-datotekom koja se automatski ponavlja.
Prema preporukama Kaspersky GReAT-a, korisnici bi trebalo da izbegavaju preuzimanje aplikacija sa nepoznatih izvora, da koriste sveobuhvatna rešenja za digitalnu zaštitu i da redovno ažuriraju softver, kako bi smanjili rizik od infekcije bankarskim trojancima kao što su GoPix i BeatBanker.
