Segundo levantamentos globais de segurança, entre agosto de 2024 e julho de 2025, o Brasil registrou 1,1 milhão de bloqueios de ataques cibernéticos em smartphones, o equivalente a 54% de todas as tentativas de invasão na América Latina. São mais de 2,1 ataques a cada minuto contra dispositivos Android no país.
Nesse cenário de ameaças em constante evolução, novos trojan bancário altamente sofisticado, identificado como Android/BankBot-YNRK, passou a se destacar como uma das principais preocupações para usuários e organizações.
Em conjunto com o DeliveryRAT, esses novos trojans bancários para Android evidenciam a crescente complexidade e especialização das campanhas maliciosas voltadas à fraude financeira móvel.
Diferente dos malwares tradicionais que apenas roubam credenciais, este ataca um alvo específico e bem-definido: marcas populares como Samsung e Xiaomi para drenar contas bancárias e roubar seed phrases de carteiras de criptomoedas.
A ameaça exemplifica uma mudança fundamental no crime financeiro digital: o “bolso no seu bolso” agora está na mira.
Ouça:
BankBot-YNRK e DeliveryRAT: a nova geração de trojans móveis
Análises recentes conduzidas por pesquisadores de segurança indicam que trojans móveis como Android/BankBot-YNRK e DeliveryRAT representam uma nova geração de malware para Android, caracterizada por evasão avançada, automação de interface e foco direto em fraude financeira.
O BankBot-YNRK incorpora mecanismos sofisticados de anti-análise, verificando se está sendo executado em ambientes virtualizados ou emulados antes de ativar suas cargas maliciosas.
O malware coleta informações detalhadas do dispositivo como fabricante, modelo e versão do sistema e restringe sua execução a aparelhos reais e previamente mapeados, com foco especial em dispositivos Samsung e Google Pixel. Essa lógica seletiva reduz a exposição em sandboxes e permite otimizações específicas para cada modelo alvo
Distribuído sob o disfarce de aplicativos governamentais falsos, como IdentitasKependudukanDigital.apk, o BankBot-YNRK abusa dos Serviços de Acessibilidade do Android para assumir controle quase total do dispositivo.
Entre suas capacidades estão a captura de tela em tempo real, reconstrução da interface de aplicativos bancários (skeleton UI), automação de carteiras de criptomoedas e a exibição de overlays fraudulentos que simulam processos legítimos de verificação de identidade enquanto o malware solicita permissões adicionais e se estabelece como administrador do dispositivo.
Já o DeliveryRAT exemplifica a convergência entre engenharia social, MaaS (Malware-as-a-Service) e persistência furtiva. Ativo desde meados de 2024, o malware é distribuído por meio de campanhas que se passam por serviços de entrega, marketplaces, aplicativos bancários ou ofertas de emprego remoto, com forte uso de mensagens via Telegram. Operando em modelo comercial, o DeliveryRAT é oferecido por atores de ameaça através de bots no Telegram, que fornecem tanto os APKs maliciosos quanto páginas de phishing para distribuição em escala.
Após a instalação, o DeliveryRAT solicita permissões estratégicas como acesso a notificações e desativação de otimizações de bateria permitindo coleta contínua de dados sensíveis, execução persistente em segundo plano e acesso a SMS e registros de chamadas.
Algumas variantes também ocultam seus ícones da tela inicial para dificultar a remoção e incluem funcionalidades adicionais, potencial uso do dispositivo comprometido como nó em atividades coordenadas, incluindo ataques distribuídos.
Em conjunto, BankBot-YNRK e DeliveryRAT demonstram como o ecossistema móvel se tornou um vetor primário de fraude digital, no qual o smartphone deixa de ser apenas um endpoint e passa a operar como plataforma ativa de automação criminosa, integrando roubo de credenciais, fraude bancária, abuso de criptomoedas e operações coordenadas em larga escala.
Funcionalidades do DeliveryRAT e seu modus operandi
Em conjunto, essas funcionalidades demonstram que o DeliveryRAT vai além de um simples spyware móvel, posicionando-se como uma plataforma modular de abuso do dispositivo, capaz de sustentar campanhas de fraude financeira, coleta massiva de dados sensíveis e operações coordenadas em larga escala.
- Exfiltração de mensagens SMS recebidas no dispositivo;
- Exfiltração e ocultação de notificações push recebidas no dispositivo.
- Execução de pedidos arbitrários do USSD;
- Esconder/mostrar o ícone do aplicativo;
- Enviando mensagens SMS arbitrárias;
- Exiba a atividade do template com um campo de entrada e um campo de texto moderado por atacantes.
- Lançar vários tipos de atividades para o usuário sob comando, no contexto das quais há atividades para inserir informações sobre um cartão bancário, selecionar uma foto, escanear um código QR e assim por diante;
- Exfiltração da lista de contatos;
- Enviando SMS para todos os contatos.
O Surgimento de uma Ameaça Sofisticada
O Android/BankBot-YNRK representa uma evolução significativa em relação aos trojans móveis anteriores.
Três variantes foram descobertas mirando principalmente usuários do Sudeste Asiático, mas sua arquitetura modular e capacidades avançadas indicam risco iminente para o mercado brasileiro.
O malware se disfarça sob nomes aparentemente inofensivos como “IdentitasKependudukanDigital.apk”, sugerindo ser um aplicativo governamental legítimo para ganhar a confiança das vítimas.
O contexto brasileiro torna esse cenário particularmente preocupante. De acordo com a Kaspersky, o Brasil concentra aproximadamente 80% dos ataques de trojans bancários em toda a América Latina.
Das 22 famílias de trojans bancários identificadas globalmente, cerca de 13 tiveram origem em solo brasileiro, consolidando o país como um epicentro de inovação no cibercrime financeiro.
Essa sofisticação local, combinada com uma população massivamente dependente de serviços financeiros móveis, cria um terreno fértil para ataques como o BankBot-YNRK.
Do Disfarce ao Roubo: Como o Ataque Funciona
A engenharia do BankBot-YNRK é extremamente sofisticada, operando em múltiplas camadas para evitar detecção e maximizar o roubo.
Assim que o malware é instalado, ele requisita acesso aos Serviços de Acessibilidade do Android (uma permissão que é aparentemente inofensiva) ,se transforma em uma “chave mestra” do dispositivo.
Com essa permissão ativada, o trojan ganha capacidades devastadoras: monitora a tela em tempo real, captura toques e gestos como um keylogger avançado, registra códigos de autenticação de dois fatores (OTP) de aplicativos como Google Authenticator e executa ações de forma completamente autônoma.
Uma vez que o acesso é confirmado, o malware exibe uma tela em indonésio imitando um prompt de “Verificação de Informações Pessoais”, levando o usuário a acreditar que está em um procedimento legítimo.
Enquanto isso, nos bastidores, o trojan habilita outras permissões críticas, se adiciona como aplicativo administrador e cria as condições para sua operação contínua. Em seguida, o malware entra em contato com seu servidor de Comando e Controle (C2) e requisita uma lista abrangente de aplicativos bancários que pode atacar.
A lista retornada é extensa e focada no Sudeste Asiático, incluindo instituições como MoMo, SCB Mobile Banking, BCA, BRI, Maybank, Public Bank, SBI Yono, ICICI e Axis Bank. Porém, a arquitetura modular do BankBot-YNRK sugere que a lista pode ser facilmente adaptada para incluir bancos brasileiros populares como Bradesco, Itaú, Santander e Caixa.
Essa flexibilidade é um diferencial crítico que amplifica o risco para o mercado brasileiro.
A Ameaça às Carteiras de Criptomoedas
Talvez ainda mais preocupante que o roubo de dados bancários seja a capacidade do BankBot-YNRK de automaticamente logar e roubar criptomoedas. O malware implementa um sistema completo de automação de carteiras, funcionando literalmente como um bot controlador de wallets.
Consegue abrir aplicativos como Exodus, MetaMask, Trust Wallet, Coinomi, Coin98 Super Wallet, BitKeep, Blockchain Wallet, imToken, SafePal, TokenPocket, Status, Krystal, MeWallet e outras.
Uma vez que a carteira está aberta, o trojan lê todo o conteúdo visível na tela , incluindo saldos, detalhes de transações e, mais crítico ainda, seed phrases e chaves privadas se aparecerem.
Diferente de uma conta bancária tradicional, que possui mecanismos de recuperação centralizados, uma seed phrase roubada significa perda irremediável dos fundos. Não existe “central de atendimento” capaz de recuperar criptomoedas uma vez que a chave foi comprometida.
O trojan também possui um flag automático chamado “autoCloseBiometrics” que descarta prompts biométricos. Essa funcionalidade é particularmente insidiosa: não consegue roubar sua impressão digital (dados seguros no hardware), mas consegue contornar essas proteções para acessar o que está por trás da autenticação biométrica.
Em essência, o dinheiro digital armazenado em seu smartphone fica completamente vulnerável.
Por Que Samsung e Xiaomi são Alvos Prioritários?
Uma característica notável do BankBot-YNRK é que ele foi especificamente adaptado para detectar e operar eficientemente em dispositivos Samsung e Xiaomi, duas das marcas mais populares no Brasil e no mundo.
O malware contém um HashMap que associa modelos específicos de dispositivos às suas resoluções de tela, permitindo adaptar seu comportamento para cada tipo de aparelho ou desativar-se completamente em ambientes de teste.
Essa sofisticação revela uma estratégia de ataque bem pensada: focar em marcas populares que concentram a maior base de usuários e, consequentemente, o maior potencial de ganho financeiro. O Brasil, como terceiro maior mercado de smartphones do mundo, fica claramente no radar de operadores desse malware.
A Resposta Corporativa: Protegendo Ecossistemas, Não Apenas Apps
A defesa contra o BankBot-YNRK exige muito mais que antivírus tradicionais ou aplicativos de segurança isolados. Como a ameaça opera no ecossistema do dispositivo inteiro (explorando permissões legítimas e se camuflando em operações normais) a proteção precisa ser igualmente integral.
A abordagem proposta pela Asper concentra-se em três pilares:
Controle de dispositivos não conformes, proteção de segredos em integrações financeiras e monitoramento contínuo de padrões anômalos de transação.
A solução SailPoint, por exemplo, limita o acesso corporativo de dispositivos que não atendem aos padrões de conformidade de segurança.
Quando um smartphone infectado tenta acessar sistemas corporativos, a plataforma detecta indicadores de comprometimento: ausência de software de segurança atualizado, permissões incomuns ativadas, presença de aplicativos maliciosos conhecidos, e bloqueia automaticamente o acesso.
Paralelamente, CyberArk oferece proteção aos segredos e tokens críticos usados em integrações financeiras, particularmente relevantes para empresas que utilizam APIs de pagamento ou conexões com fintechs.
Se um token for comprometido, o sistema identifica tentativas de acesso anômalo e pode revogar credenciais em tempo real.
O terceiro e mais estratégico pilar é o time de cibersegurança do Cyber Fusion Center (CFC) da Asper, onde o Cyber Threat Intelligence (CTI) atua de forma integrada com as equipes de CSIRT, detecção de fraudes e monitoramento contínuo de grupos e campanhas de ameaça. Nesse ambiente convergente, indicadores técnicos, sinais de ameaças emergentes e contexto de inteligência são correlacionados de maneira sistemática, viabilizando a identificação de comportamentos maliciosos e cadeias de ataque.
Enquanto malwares como o BankBot-YNRK automatizam transferências bancárias e operações envolvendo carteiras de criptomoedas, o CFC atua para interromper não apenas a execução técnica do ataque, mas principalmente a lógica operacional da fraude, enfraquecendo o modelo criminoso que sustenta a campanha.
Ao posicionar o CTI e CSIRT como camada decisória, a defesa deixa de ser puramente reativa e evolui para uma abordagem antecipatória, orientada por inteligência e baseada em risco. Indicadores observados em campanhas ativas como TTPs de trojans móveis, infraestruturas de C2 emergentes e novos vetores de engenharia social são rapidamente convertidos em regras de detecção, mecanismos de bloqueio e ações de resposta coordenadas. O resultado é uma postura de segurança capaz de mitigar não apenas o malware em si, mas o modelo de fraude subjacente, reduzindo impacto financeiro, risco operacional e a recorrência dos ataques.
Enquanto o BankBot-YNRK executa transferências e operações com carteiras de cripto, o CFC mantém vigilância contínua sobre comportamentos transacionais, detectando desvios, como múltiplas transferências para endereços de carteira desconhecidos, tentativas de acesso simultâneo em diferentes regiões geográficas ou operações fora do padrão de horários do usuário.
O Contexto Mais Amplo: Fraudes Digitais em Escala
O Brasil vem registrando crescimento alarmante em fraudes digitais. As perdas com fraudes no Pix cresceram 70% em 2024, alcançando R$ 4,9 bilhões. Em paralelo, mais de 390 mil fraudes foram notificadas por mês em 2024, representando um crescimento consistente desde o lançamento do sistema de pagamentos instantâneos.
Esse cenário não é apenas um problema de usuários individuais, afeta diretamente a segurança operacional de empresas. Um único executivo comprometido pelo BankBot-YNRK pode oferecer um ponto de entrada para ataques mais amplos na rede corporativa.
Criminosos frequentemente utilizam acessos iniciais em endpoints móveis para escalar privilégios, mover-se lateralmente pela rede e implantar malware de maior impacto, como ransomware.
Educação Contínua como Primeira Linha de Defesa
Embora a tecnologia seja essencial, a realidade é que o erro humano permanece sendo o principal vetor de comprometimento.
A educação contínua de usuários e colaboradores sobre os riscos específicos, como não clicar em links de aplicativos desconhecidos, verificar sempre o nome exato do desenvolvedor na Google Play Store e evitar habilitar permissões de acessibilidade para aplicativos fora da confiança, é um investimento que reduz dramaticamente o risco de infecção inicial.
A Asper atua justamente nessa intersecção entre tecnologia e conhecimento humano. Oferece não apenas ferramentas de detecção e bloqueio, mas também assessoria estratégica sobre como estruturar a postura de segurança para evitar que ameaças como o BankBot-YNRK tenham oportunidade de prosperar.
Proatividade, Não Reatividade
O Android/BankBot-YNRK exemplifica uma mudança fundamental no cenário de ameaças contra organizações e indivíduos no Brasil.
Trojans bancários deixaram de ser meros ladrões de credenciais para se transformarem em orquestradores automatizados de fraudes financeiras em tempo real, com capacidades de roubar tanto valores em reais quanto em criptomoedas.
A defesa precisa sair do perímetro do aplicativo e abranger o ecossistema inteiro do dispositivo. Isso envolve não apenas bloqueio de malware, mas monitoramento comportamental contínuo, validação de conformidade de dispositivos, proteção de segredos críticos e resposta rápida a sinais de fraude.
Na Asper, reconhecemos que a segurança não pode ser reativa. Deve ser proativa, antecipatória e integrada em cada camada da operação.
Quando o assunto é dinheiro, seja em contas bancárias ou em carteiras de criptomoedas, não há espaço para falhas. A verdadeira resiliência vem de uma visão unificada que une tecnologia, processos rigorosos e vigilância constante.
Se você deseja blindar sua operação contra ameaças móveis avançadas, comece hoje a avaliar a maturidade da segurança nos seus dispositivos.
Fale com nosso time e descubra como implementar uma estratégia de proteção em camadas que mantém seus dados e seus ativos financeiros verdadeiramente seguros.
