Cybersecurity-onderzoekers hebben details bekendgemaakt van een nieuwe campagne die WhatsApp gebruikt als distributievector voor een Windows-banktrojan genaamd Astaroth bij aanvallen gericht op Brazilië.
De campagne heeft de codenaam gekregen Boto Cor-de-Rosa door Acronis Threat Research Unit.
“De malware haalt de WhatsApp-contactenlijst van het slachtoffer op en stuurt automatisch kwaadaardige berichten naar elk contact om de infectie verder te verspreiden”, aldus het cyberbeveiligingsbedrijf in een rapport gedeeld met The Hacker News.
“Terwijl de kern van de Astaroth-payload geschreven blijft in Delphi en het installatieprogramma afhankelijk is van Visual Basic-script, is de nieuw toegevoegde op WhatsApp gebaseerde wormmodule volledig in Python geïmplementeerd, wat het groeiende gebruik van meertalige modulaire componenten door de bedreigingsactoren benadrukt.”
Astaroth, ook wel Guildma genoemd, is een bankmalware die sinds 2015 in het wild is gedetecteerd en zich voornamelijk richt op gebruikers in Latijns-Amerika, met name Brazilië, om gegevensdiefstal te vergemakkelijken. In 2024 werden meerdere bedreigingsclusters waargenomen, zoals PINEAPPLE en Water Makara, die phishing-e-mails gebruikten om de malware te verspreiden.
Het gebruik van WhatsApp als bezorgmiddel voor banktrojans is een nieuwe tactiek die terrein heeft gewonnen onder bedreigingsactoren die zich op Braziliaanse gebruikers richten, een beweging die wordt aangewakkerd door het wijdverbreide gebruik van het berichtenplatform in het land. Vorige maand heeft Trend Micro gedetailleerd beschreven hoe Water Saci afhankelijk is van WhatsApp om Maverick en een variant van Casbaneiro te verspreiden.
Sophos zei in een in november 2025 gepubliceerd rapport dat het een meerfasige malwaredistributiecampagne met de codenaam STAC3150 volgt, gericht op WhatsApp-gebruikers in Brazilië met Astaroth. Meer dan 95% van de getroffen apparaten bevond zich in Brazilië en, in mindere mate, in de VS en Oostenrijk.
De activiteit, actief sinds ten minste 24 september 2025, levert ZIP-archieven op met daarin een downloaderscript dat een PowerShell- of Python-script ophaalt om WhatsApp-gebruikersgegevens te verzamelen voor verdere verspreiding, samen met een MSI-installatieprogramma dat de trojan inzet. De nieuwste bevindingen van Acronis zijn een voortzetting van deze trend, waarbij ZIP-bestanden die via WhatsApp-berichten worden verspreid, fungeren als startpunt voor de malware-infectie.
“Wanneer het slachtoffer het archief uitpakt en opent, komt het een Visual Basic Script tegen, vermomd als een goedaardig bestand”, aldus het cyberbeveiligingsbedrijf. “Het uitvoeren van dit script activeert het downloaden van de componenten van de volgende fase en markeert het begin van het compromis.”
Dit omvat twee modules –
- Een op Python gebaseerde propagatiemodule die de WhatsApp-contacten van het slachtoffer verzamelt en automatisch een kwaadaardig ZIP-bestand naar elk van hen doorstuurt, wat effectief leidt tot de verspreiding van de malware op een wormachtige manier
- Een bankmodule die op de achtergrond werkt en voortdurend de surfactiviteit van een slachtoffer controleert, en wordt geactiveerd wanneer bankgerelateerde URL’s worden bezocht om inloggegevens te verzamelen en financieel gewin mogelijk te maken
“De auteur van de malware heeft ook een ingebouwd mechanisme geïmplementeerd om de verspreidingsstatistieken in realtime te volgen en te rapporteren”, aldus Acronis. “De code registreert periodiek statistieken zoals het aantal succesvol afgeleverde berichten, het aantal mislukte pogingen en de verzendsnelheid gemeten in berichten per minuut.”
