GoPix trojanac zabilježio 90.000 pokušaja napada na finansijske klijente do marta 2026.

Sofisticirani bankarski malver cilja klijente finansijskih institucija i korisnike kriptovaluta, uz rast detekcija u Brazilu i potencijalnu globalnu prijetnju

Brazilski bankarski trojanac GoPix, prema izvještaju tima za globalna istraživanja i analizu kompanije Kaspersky (GReAT), zabilježio je ukupno 90.000 pokušaja infekcije do marta 2026. godine, pokazuju najnoviji podaci. Ovaj zlonamjerni softver je u posljednje tri godine postao izuzetno sofisticiran, koristeći napredne tehnike kao što su napadi tipa „čovjek u sredini“, implantati koji funkcionišu isključivo u memoriji i zlonamjerno oglašavanje putem Google Ads-a.

GoPix prvenstveno cilja klijente brazilskih finansijskih institucija i korisnike kriptovaluta, ali se zbog prirode savremenih sajber prijetnji očekuje širenje na globalno tržište. Prema riječima Fabia Asolinija, rukovodioca GReAT-a za Ameriku i Evropu, broj detekcija GoPix trojanca raste iz godine u godinu. Napredne metode infekcije omogućavaju ovom malveru da izbjegne detekciju sigurnosnih rješenja, dok zlonamjerno oglašavanje kroz popularne servise kao što su WhatsApp, Google Chrome i brazilska poštanska služba Correios navodi korisnike na kompromitovane stranice.

GoPix koristi Proxy AutoConfig (PAC) fajlove za napade tipa „čovjek u sredini“, nadgleda Pix transakcije i Boleto uplatnice, te manipuliše transakcijama kriptovaluta. Zahvaljujući tehnikama kao što su učitavanje modula direktno u memoriju i korištenje C2 servera s ograničenim životnim vijekom, malver značajno otežava detektovanje i digitalnu forenziku. Pristup koji je uobičajen za APT grupe omogućava GoPix-u da održava postojanost i prikriva zlonamjerne aktivnosti na kompromitovanim uređajima.

Stručnjaci iz Kaspersky GReAT-a preporučuju korisnicima da budu izuzetno oprezni prilikom klikanja na online oglase i da softver preuzimaju isključivo iz zvaničnih prodavnica aplikacija. Također naglašavaju važnost redovnog ažuriranja softvera i korištenje sveobuhvatnih rješenja za digitalnu zaštitu, kako bi se smanjio rizik od ovakvih prijetnji.

Pored GoPix-a, Kaspersky je otkrio i novu android kampanju malvera BeatBanker, koji se distribuira pod maskom aplikacije Starlink za Android uređaje. BeatBanker cilja prvenstveno korisnike iz Brazila, ali postoji mogućnost širenja na druga tržišta. Ovaj trojanac, osim što koristi rudar kriptovalute Monero, instalira i alat za udaljenu administraciju BTMOB RAT, a za održavanje postojanosti koristi specifičan mehanizam sa gotovo nečujnom audio-datotekom koja se stalno ponavlja.

Prema dostupnim podacima, distribucija lažne aplikacije Starlink odvija se putem fišing stranica koje imitiraju Google Play prodavnicu. Nakon što žrtva preuzme aplikaciju i odobri potrebne dozvole, malver preuzima dodatne skrivene komponente, čime se povećava rizik za korisnike finansijskih servisa i kriptovaluta. Stručnjaci ističu da je važno koristiti napredna sigurnosna rješenja i izbjegavati softver iz neprovjerenih izvora, kako bi se minimizirao rizik od infekcije ovakvim sofisticiranim trojancima.