# Banking Trojans > Trojans bancarios especializados no roubo de credenciais financeiras, interceptação de transações e fraude bancaria online. O Brasil e epicentro global de desenvolvimento de banking trojans, sendo o maior mercado-alvo e também o principal produtor de familias como Grandoreiro, Astaroth e Guildma. > [!danger] Ameaça Prioritaria para o Brasil > O Brasil lidera o ranking global de ataques de trojans bancarios. Familias como Grandoreiro, Mekotio e Mispadu foram desenvolvidas específicamente para o ecossistema bancario brasileiro, explorando PIX, internet banking e aplicativos moveis dos principais bancos nacionais. ## Como Funcionam Banking trojans brasileiros (também chamados de **BRATS - Brazilian Remote Access Trojans**) seguem um padrao distinto das familias europeias e americanas, com forte uso de Delphi, injecao de overlay e controle remoto para fraude em tempo real. ```mermaid graph TB A["🎣 Entrega<br/>Phishing / MalSpam / SEO Poisoning"] --> B["📦 Instalacao<br/>Downloader / Loader auxiliar"] B --> C["🔍 Fingerprinting Bancario<br/>Detecta banco aberto no browser"] C --> D["🖥️ Overlay / Web Inject<br/>Janela falsa sobre o site real"] D --> E["⌨️ Captura de Credenciais<br/>Keylog + screenshot + OTP intercept"] E --> F["🔗 RAT Bancario<br/>Operador assume controle remoto"] F --> G["💸 Transacao Fraudulenta<br/>PIX / TED / Boleto"] style A fill:#e74c3c,color:#fff style B fill:#e67e22,color:#fff style C fill:#f39c12,color:#fff style D fill:#d35400,color:#fff style E fill:#8e44ad,color:#fff style F fill:#2980b9,color:#fff style G fill:#922b21,color:#fff ``` **Técnicas caracteristicas:** - **Overlay attack** - Janela falsa exibida sobre o internet banking real para capturar credenciais - **Web inject** - Modificacao do HTML do banco para adicionar campos de captura - **Keylogging seletivo** - Ativa apenas quando janelas bancarias sao detectadas - **Controle remoto** - Operador humano assume o mouse para realizar a transação ## Familias Catalogadas %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nome", status AS "Status", first-seen AS "Primeira Vez" FROM "cti/software/malware/banking-trojans" WHERE type = "malware" SORT title ASC ``` %% <!-- QueryToSerialize: TABLE WITHOUT ID link(file.link, title) AS "Nome", status AS "Status", first-seen AS "Primeira Vez" FROM "cti/software/malware/banking-trojans" WHERE type = "malware" SORT title ASC --> <!-- SerializedQuery: TABLE WITHOUT ID link(file.link, title) AS "Nome", status AS "Status", first-seen AS "Primeira Vez" FROM "cti/software/malware/banking-trojans" WHERE type = "malware" SORT title ASC --> | Nome | Status | Primeira Vez | | -------------------------------------------------------------------------- | -------- | ----------------- | | [[amavaldo\|Amavaldo]] | active | 2019 | | [[cti/software/malware/banking-trojans/anatsa.md\|Anatsa]] | active | 2021 | | [[s0373-astaroth\|Astaroth]] | active | 2017 | | [[beatbanker\|BeatBanker]] | active | 2026 | | [[bizarro\|Bizarro]] | active | 2020 | | [[brasdex\|BrasDex]] | active | January 01, 2022 | | [[brasdex-v2\|BrasDex v2]] | active | 2023 | | [[coper\|Coper]] | active | 2021 | | [[copybara\|Copybara]] | active | 2021 | | [[darktequila\|Dark Tequila]] | inactive | 2013 | | [[doppeldridex\|DoppelDridex]] | active | 2020 | | [[s0666-flubot\|FluBot]] | inactive | December 01, 2020 | | [[godfather\|Godfather]] | active | 2021 | | [[gopix\|GoPix]] | active | December 01, 2022 | | [[s0531-grandoreiro\|Grandoreiro]] | active | 2016 | | [[cti/software/malware/banking-trojans/guildma.md\|Guildma]] | active | 2015 | | [[hookbot\|HookBot]] | active | 2023 | | [[hydra-trojan\|Hydra Trojan]] | active | 2019 | | [[javali\|Javali]] | active | November 01, 2017 | | [[krbanker\|KRBanker]] | inactive | 2017 | | [[lampion\|Lampion]] | active | 2019 | | [[cti/software/malware/banking-trojans/mekotio.md\|Mekotio]] | active | 2015 | | [[s0455-metamorfo\|Metamorfo]] | active | | | [[cti/software/malware/banking-trojans/mispadu.md\|Mispadu]] | active | 2019 | | [[numando\|Numando]] | active | 2018 | | [[s0669-ousaban\|Ousaban]] | active | 2018 | | [[s0016-p2p-zeus\|P2P ZeuS]] | active | | | [[pixpirate\|PixPiraté]] | active | December 01, 2022 | | [[pixrevolution\|PixRevolution]] | active | 2026 | | [[sharkbot\|SharkBot]] | active | 2021 | | [[tsarbot\|TsarBot]] | active | 2025 | | [[cti/software/malware/banking-trojans/vadokrist.md\|Vadokrist]] | active | 2018 | | [[zanubis\|Zanubis]] | active | 2022 | | [[zumanek\|Zumanek]] | inactive | 2017 | <!-- SerializedQuery END --> > [!info] Estatisticas > **19 familias** catalogadas - **15 ativas** - **12 com origem ou foco primario no Brasil** - PIX como vetor de fraude desde 2020 ## Defesas e Mitigacoes - [[m1017-user-training|M1017 - User Training]] - Conscientizacao sobre phishing e overlay attacks - [[m1049-antivirus-antimalware|M1049 - Antivirus/Antimalware]] - Detecção comportamental de keyloggers - [[m1054-software-configuration|M1054 - Software Configuration]] - Autenticação multifator nos apps bancarios - Validar certificados SSL antes de inserir credenciais bancarias - Utilizar teclados virtuais randomizados para senhas ## Relacionados [[_malware]] - [[_groups]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1185-browser-session-hijacking|T1185 - Browser Session Hijacking]] - [[financial|Setor Financeiro]]