tsarbot - RunkIntel

# TsarBot > [!danger] Alta Severidade > Trojan bancário Android sofisticado com capacidade de atacar mais de **30 bancos** globalmente, incluindo instituições brasileiras. Documentado pela Zimperium e Cleafy. ## Visão Geral **TsarBot** é um trojan bancário Android avançado identificado pela [[zimperium|Zimperium]] e [[cleafy|Cleafy]]. Diferente de trojans bancários mais simples, o TsarBot possui uma lista de alvos extensa cobrindo instituições financeiras em múltiplos países, com presença confirmada no Brasil. O malware utiliza um sistema de overlay dinâmico que busca automaticamente as telas de login dos aplicativos bancários alvo para substituí-las por telas falsas, tornando-o eficaz contra uma ampla variedade de apps bancários sem necessidade de customização manual por alvo. ## Características Técnicas - **Plataforma:** Android - **Alvos confirmados:** 30+ bancos globalmente, incluindo brasileiros - **Mecanismo principal:** Overlay attack dinâmico - **Persistência:** Accessibility Services + Device Admin abuse - **Comúnicação C2:** Canal criptografado customizado - **Capacidades adicionais:** VNC remoto, controle completo do dispositivo ## TTPs | Técnica | Descrição | |---------|-----------| | [[t1056-input-capture\|T1056]] | Keylogging e captura de credenciais bancárias | | [[t1185-browser-session-hijacking\|T1185]] | Overlay attack em sessões bancárias | | [[t1036-masquerading\|T1036]] | Distribuição via apps falsos em lojas não oficiais | | [[t1417-input-capture-android\|T1417]] | Input capture via Android Accessibility Services | | [[t1513-screen-capture\|T1513]] | Captura de tela e VNC remoto | | [[t1521-encrypted-channel\|T1521]] | Canal C2 criptografado para evasão | ## Distribuição - Distribuído via páginas de phishing imitando Google Play - Mascarado como aplicativos de produtividade e utilitários - Campanha de distribuição via anúncios maliciosos em redes sociais ## Contexto Global e LATAM O TsarBot se destaca por sua cobertura multinacional: enquanto trojans como [[pixrevolution]] são especializados no Brasil, o TsarBot foi projetado para operar globalmente, adaptando seus overlays automaticamente para diferentes bancos e idiomas. No Brasil, instituições como Itaú, Bradesco e Nubank figuram entre os alvos potenciais confirmados pela análise da Zimperium. ## Setores Afetados - [[setor-financeiro|Financeiro]] - Bancos e fintechs (principal alvo) - [[setor-varejo|Varejo]] - Carteiras digitais e plataformas de pagamento ## Referências - [Zimperium - TsarBot Banking Trojan Analysis](https://www.zimperium.com/blog/) - [Cleafy - TsarBot Mobile Threat Intelligence](https://www.cleafy.com/cleafy-labs/)