Você escaneia um QR code para pagar uma conta. O valor parece certo, você confirma — e o dinheiro vai direto para a conta de um criminoso. Você não viu nada de errado. O seu computador não viu nada de errado. Só o Banana RAT viu, e agiu em silêncio.
Esse é o nome do mais novo e sofisticado vírus bancário com impressão digital brasileira, descoberto em plena operação pela empresa de cibersegurança TrendAI (antiga Trend Micro) em abril de 2026 — e que já mira clientes de 16 instituições financeiras do país. A ameaça não chegou de um laboratório em Moscou ou Pequim: os pesquisadores identificaram com alta confiança que os operadores falam português do Brasil, batizaram seu projeto internamente de “Projeto Banana” e constroem ferramentas que rivalizam, tecnicamente, com o que há de mais avançado no cibercrime global. Parece roteiro de série de espionagem, mas Isso Existe.
O que é o Banana RAT?
RAT é a sigla em inglês para Remote Access Trojan — um tipo de malware que, uma vez instalado na máquina da vítima, entrega ao atacante controle total e remoto do dispositivo. O Banana RAT, no entanto, vai além do básico. Trata-se de um trojan bancário de execução sem arquivo (fileless): o código malicioso principal roda inteiramente na memória do computador e nunca é gravado em disco, tornando sua detecção por antivírus tradicionais extremamente difícil.
A arquitetura do malware também foge do padrão histórico da América Latina. Enquanto a maioria dos trojans bancários da região é escrita em Delphi — linguagem com décadas de uso no cibercrime local —, o Banana RAT usa PowerShell como cliente e um servidor de comando orquestrado em Python com FastAPI. Essa combinação moderna e modular permite que os operadores gerem versões novas do payload automaticamente: o servidor FastAPI produz entre 100 e 200 amostras únicas por campanha, cada uma com uma “impressão digital” diferente, tornando as ferramentas antivírus baseadas em reconhecimento de padrões completamente cegas. Esse mecanismo se chama polimorfismo — e é uma das razões pelas quais o malware ficou ativo por tanto tempo sem ser bloqueado.
Como o golpe acontece — passo a passo
A infecção começa com uma mensagem de WhatsApp ou um link de phishing que convida a vítima — geralmente alguém do setor empresarial — a baixar o que parece ser uma nota fiscal eletrônica. O arquivo se chama Consultar_NF-e.bat e está hospedado no domínio convitemundial2026[.]com — uma referência oportunista à Copa do Mundo de 2026. Um arquivo .bat (script de lote do Windows) parece inofensivo a olhos menos treinados, mas é uma das formas mais antigas e eficazes de executar comandos no sistema.
Ao clicar, um comando PowerShell oculto é ativado. Ele busca silenciosamente um segundo arquivo chamado msedge.txt e o executa direto na memória — sem deixar rastros em disco. Para disfarçar ainda mais sua presença, o malware se instala dentro de um caminho de pasta que imita a Microsoft: C:\ProgramData\Microsoft\Diagnosis\ETW. Uma vez ativo, abre um canal criptografado com o servidor dos atacantes e entrega um arsenal de capacidades operacionais em tempo real: transmissão ao vivo da tela da vítima, controle remoto de teclado e mouse, captura de teclas digitadas (keylogging), monitoramento da área de transferência e — o recurso mais audacioso de todos — interceptação e substituição de QR codes do PIX.
O truque do QR code: dinheiro que some no ar
Esse é o ponto mais perturbador da operação. O Banana RAT incorpora a biblioteca ZXing — normalmente usada para leitura legítima de códigos de barras — para monitorar em tempo real qualquer QR code que apareça na tela do usuário. Quando a vítima vai pagar uma conta via PIX, o malware intercepta os dados do código e os substitui pelos dados de uma conta controlada pelos criminosos — tudo antes que a transação seja confirmada.
O valor exibido na tela continua sendo o correto. O nome do destinatário pode até parecer familiar. A vítima confirma o pagamento achando que está quitando uma fatura — e o dinheiro simplesmente desaparece. Além disso, o malware exibe sobreposições falsas de atualização de segurança bancária sobre o aplicativo real do banco, capturando senhas e dados de autenticação em segundo plano enquanto o operador conduz a fraude manualmente pela transmissão ao vivo. E acredite: Isso Existe — um vírus que mente para você enquanto você digita sua própria senha.
16 bancos na mira — do Itaú à Sicredi
A lista de alvos confirma que os operadores do Projeto Banana não estão brincando. Entre as instituições mapeadas estão gigantes do varejo e do setor corporativo como Itaú, Bradesco, Santander, Caixa Econômica Federal e Banco do Brasil, além de bancos regionais como Banrisul e Daycoval e redes cooperativas como Sicoob e Sicredi. No total, são 16 instituições financeiras mapeadas como alvos primários, além de mais de 30 bancos e exchanges de criptomoedas monitorados pelo malware para ativar as sobreposições falsas de coleta de credenciais. A TrendAI já está em contato com a FEBRABAN (Federação Brasileira de Bancos) para compartilhar inteligência e apoiar a proteção das instituições e de seus clientes.
Isso Existe?! O que é execução fileless? Malwares tradicionais gravam um arquivo executável no disco rígido da vítima — e os antivírus os detectam varrendo esses arquivos. Malwares fileless (sem arquivo) pulam essa etapa: o código malicioso é carregado diretamente na RAM, dentro de processos legítimos do sistema operacional como o PowerShell. Como nunca há um arquivo suspeito em disco para varrer, a detecção exige ferramentas comportamentais que monitorem o que os processos fazem — não apenas o que eles são. É por isso que antivírus convencionais tendem a falhar contra esse tipo de ameaça.
Quem está por trás disso?
A TrendAI rastreia os operadores sob o codinome SHADOW-WATER-063 e atribui a campanha com alta confiança a um grupo brasileiro. As evidências são múltiplas: os comentários internos do código estão em português do Brasil, as técnicas usadas são próximas às do chamado Tetrade — o conjunto de grupos de cibercrime financeiro brasileiro mais documentado internacionalmente — e todo o escopo do ataque é exclusivamente doméstico. Tom Kellermann, VP de segurança em IA e pesquisa de ameaças da TrendAI, foi direto ao ponto: os cartéis de cibercrime brasileiros são altamente sofisticados e organizados, atuando de forma devastadora contra o setor financeiro desde os anos 2000, e os RATs e rootkits que desenvolvem estão no mesmo nível do que se vê saindo da Rússia.
O contexto financeiro ajuda a dimensionar o tamanho do problema. A FEBRABAN reportou um aumento de 17% nas perdas por fraude entre 2023 e 2024, chegando a R$ 10,1 bilhões — e projeções da ACI Worldwide estimam que as perdas relacionadas ao PIX podem chegar a R$ 11 bilhões até 2028.
Como se proteger
A TrendAI recomenda que empresas bloqueiem imediatamente o acesso de rede ao domínio de comando primário do Banana RAT (cwindowsk-cdn[.]com). Para usuários comuns, as boas práticas são as de sempre — mas com atenção redobrada ao contexto atual. Desconfie de arquivos .bat recebidos por WhatsApp ou e-mail, mesmo que pareçam notas fiscais: empresas sérias não enviam arquivos executáveis por mensageiro. Verifique sempre o destinatário do PIX após escanear o QR code — confira o nome e o CPF/CNPJ exibidos na tela de confirmação antes de autorizar qualquer transação. Mantenha o Windows e o antivírus atualizados e, sempre que possível, opte por soluções de segurança com detecção comportamental, não apenas baseada em assinaturas. Em ambiente corporativo, restrinja o uso do PowerShell para usuários comuns — ele é a porta de entrada favorita desse tipo de ataque.
A lança tem nome de fruta
O Banana RAT é mais um capítulo de uma história que o Brasil insiste em não levar a sério: a do cibercrime financeiro nacional de altíssimo nível. Enquanto a narrativa pública ainda associa hackers a capuzes e telas verdes de Hollywood, grupos como o SHADOW-WATER-063 operam com a sofisticação de uma startup de tecnologia — só que o produto é fraude. O PIX democratizou o acesso financeiro no Brasil de forma brilhante; agora, os criminosos estão democratizando o jeito de roubá-lo. A corrida entre o escudo e a lança nunca para — e desta vez, a lança tem nome de fruta.
Fontes
- Hackread: Banana RAT Malware in Fake Invoices Hits Customers at 16 Brazilian Banks
- Trend Micro (TrendAI): Inside SHADOW-WATER-063’s Banana RAT: From Build Server to Banking Fraud
- The Hacker News: ThreatsDay Bulletin — Linux Rootkits, Router 0-Day, AI Intrusions, Scam Kits and 25 New Stories
- Investing.com Brasil: Novo vírus bancário brasileiro desvia Pix em tempo real
- Advanced Brazilian Threat (Substack): ABT — Issue 2025-01-22