Zpět na domů

Trojan JanelaRAT krade bankovní data pod záminkou aktualizací

Rodina JanelaRAT představuje hrozbu pro bankovní klienty v Brazílii a Mexiku, maskuje se jako systémové aktualizace. Trojan monitoruje okna prohlížeče, přepadává data a používá fullscreen overlaye. V roce 2025 bylo zaznamenáno více než 26 tisíc útoků.

JanelaRAT: skrytý trojan útočí na banky v Brazílii a Mexiku
Advertisement 728x90

JanelaRAT: Trojan se předstírá jako aktualizace pro krádež finančních údajů

Finanční trojany se vyvíjejí a využívají falešné systémové aktualizace k odposlechu údajů bankovních karet. Rodina JanelaRAT je zaměřena na uživatele v Latinské Americe, sleduje prohlížečské relace a blokuje rozhraní podobně jako legitimní procesy.

Mechanismus šíření a instalace

Infekce probíhá prostřednictvím phishingových e-mailů, které napodobují upozornění na dluhy. Odkazy vede na weby s archivy obsahujícími MSI instalační balíčky. Tyto soubory nasazují škodlivý software, který se maskuje jako systémové komponenty Windows.

  • Automatický spouštění: Přidání do registru pro spuštění při startu operačního systému.
  • Obfuskace: Šifrování kódu pomocí nástrojů určených k vyhnutí se antivirům.
  • Systémová maskovací technika: Vytváření souborů s neutrálními názvy a dynamické načítání knihoven.

Po instalaci trojan analyzuje prostředí: určuje oprávnění, shromažďuje informace o systému a navazuje spojení s C2 servery přes port 443 bez TLS.

Google AdInline article slot

Funkce sledování a útoků

JanelaRAT monitoruje aktivní okna prohlížeče a reaguje na finanční weby. Název odráží zaměření na portugalštinu "janela" (okno), což zdůrazňuje metodu detekce cílů.

Program zasahuje do relací:

  • Záchyt klávesnice.
  • Zachycení snímků obrazovky.
  • Simulace pohybů myši.
  • Blokování systému prostřednictvím nutného vypnutí.

Klíčovým prvkem jsou plnoobrazové překryvy, které napodobují bankovní rozhraní nebo aktualizace OS. Vynucují uživatele zadat přihlašovací údaje, tokeny a kódy 2FA.

Google AdInline article slot

Geografie a statistika hrozeb

Útoky jsou koncentrovány v Brazílii a Mexiku. V roce 2025 bylo zaznamenáno více než 14 tisíc incidentů v Brazílii a přibližně 12 tisíc v Mexiku. Trojan se přizpůsobuje místním bankám a pravidelně aktualizuje seznam cílů.

Infrastruktura C2 je dynamická: servery se mění každý den, provoz je maskován jako HTTPS.

Kontext hrozby a důsledky

Finanční trojany jako JanelaRAT odrážejí trend zjednodušení infekce při zvyšování složitosti payloadu. To zvyšuje úspěšnost útoků o 20–30 % ve srovnání s ranými verzemi, jako je BX RAT, díky samostatnému analýze oken.

Google AdInline article slot

Příčiny úspěchu:

  • Růst phishingu v regionech s vysokým zastoupením mobilního bankovnictví.
  • Nedostatečná informovanost o falešných aktualizacích.
  • Přizpůsobení se regionálním platebním systémům.

Důsledky pro průmysl:

Ztráty z krádeže dat přesahují miliardy dolarů ročně v Latinské Americe. Banky posilují mnohoúčelovou autentizaci a analýzu chování, ale uživatelé zůstávají slabým článkem. Regulační orgány uvádějí požadavky na monitorování provozu, což podporuje vývoj AI detektorů.

Celkový kontext: V roce 2025 je Latinská Amerika lídrem v oblasti finančního podvodu na rozvojových trzích, kde trojany tvoří 40 % kiberneticých incidentů.

Co je důležité

  • JanelaRAT kombinuje skryté sledování oken s reálným výkonem zásahu do relací.
  • MSI instalační balíčky zjednodušují řetězec infekce a zvyšují konverzi útoků.
  • Dynamické C2 servery komplikují blokování infrastruktury.
  • Hlavní oběti jsou klienti brazilských a mexických bank.
  • Evoluce z BX RAT zlepšila přesnost cílení.

— Editorial Team

Advertisement 728x90

Číst dál