Pesquisadores de segurança identificaram uma nova campanha maliciosa que utiliza o WhatsApp como vetor de propagação automática para disseminar um trojan bancário voltado a vítimas no Brasil. O ataque envolve um worm desenvolvido em Python, projetado para enviar mensagens maliciosas a todos os contatos do WhatsApp da vítima, com um arquivo APK disfarçado de aplicativo legítimo. O arquivo malicioso é entregue como um suposto “aplicativo” confiável, com o nome “WhatsAppSpy” ou variações similares. Uma vez instalado, o worm acessa a sessão ativa do WhatsApp Web da vítima e envia, automaticamente, mensagens a todos os contatos, contendo um link para download do mesmo arquivo infectado.
A campanha resulta na instalação do Eternidade Stealer, um malware conhecido por roubar credenciais, dados bancários, cookies, carteiras de criptomoedas, e arquivos sensíveis armazenados no dispositivo. O código é comercializado como Malware-as-a-Service (MaaS) e pode ser facilmente customizado por cibercriminosos para alvos específicos. Embora o foco da campanha atual seja o Brasil, os pesquisadores apontam que o modelo de propagação adotado pode ser reutilizado em outros países. A combinação entre engenharia social, linguagem local e automação em Python torna o ataque altamente eficaz, com baixa barreira técnica para os operadores.
O worm se aproveita do acesso local ao navegador onde o WhatsApp Web está autenticado. Ao interagir com a interface web via automação (possivelmente com bibliotecas como Selenium), o malware envia mensagens com texto em português e o link para o arquivo infectado hospedado em serviços de compartilhamento legítimos. Esse tipo de ataque explora a confiança natural entre contatos pessoais no WhatsApp, aumentando a taxa de sucesso da infecção. O ciclo se mantém com cada novo dispositivo comprometido, que passa a se tornar um novo ponto de distribuição do worm e do trojan.
