Malware Maverick: Por que o Golpe do WhatsApp (.ZIP) Só Funciona no PC?

Nas últimas semanas, este novo trojan bancário (malware focado em roubar dados de bancos) explodiu no país. Relatórios de empresas como a Kaspersky indicam dezenas de milhares de tentativas de infecção, todas começando da mesma forma: uma simples mensagem no WhatsApp.

English Version

A mensagem, muitas vezes vinda de um contato conhecido, contém um arquivo .ZIP e uma instrução curiosa: “Visualização permitida apenas em computadores”.

Isso levanta a pergunta central que tenho recebido: Se o golpe chega no meu celular, por que ele precisa do meu computador para funcionar?

A resposta revela a anatomia de um ataque moderno e a diferença crucial entre a arquitetura de segurança de um smartphone e a de um PC. Vamos dissecar esse malware.

A Pergunta de Ouro: Por que o PC e não o Celular?

A resposta curta é: o malware não foi feito para o seu celular.

Pense no seu celular (Android ou iOS) como uma fortaleza com celas de segurança máxima. O malware (o arquivo .ZIP e o atalho .LNK dentro dele) é como um prisioneiro que fala uma língua estrangeira e não tem as ferramentas para sequer tentar abrir a porta da cela.

O sistema do seu celular simplesmente ignora o arquivo malicioso por dois motivos principais:

1. A “Jaula” de Segurança do Celular (Sandboxing)

Este é o conceito mais importante. No seu smartphone, cada aplicativo vive em sua própria “caixa de areia” (Sandbox), completamente isolado dos outros.

O WhatsApp não tem permissão para ler o que acontece no App do seu Banco.
O App do seu Banco não pode ver o que você faz no seu Navegador.

O malware, ao chegar no WhatsApp, está preso dentro da “caixa de areia” do WhatsApp. Ele não pode espionar outros aplicativos. Além disso, o celular não sabe o que fazer com um arquivo de “Atalho do Windows” (.LNK). É a ferramenta errada para o trabalho.

2. O Malware foi “Construído” para o Windows

O PC, por outro lado, é um ambiente muito mais aberto e complexo. O Maverick foi desenhado especificamente para explorar ferramentas que só existem no sistema operacional Windows:

O Atalho (.LNK): É o “gatilho” que o usuário clica.
O cmd.exe: O prompt de comando clássico do Windows, usado como ponte.
O PowerShell.exe: A arma secreta. Esta é uma ferramenta de administração poderosa, nativa do Windows, que o malware usa para baixar e executar seus componentes diretamente na memória RAM.
O .NET Framework: A plataforma de software da Microsoft sobre a qual o trojan bancário real foi programado.

Nenhum desses componentes existe no seu celular. O ataque foi arquitetado do zero para o ecossistema do Windows, onde ele pode monitorar o teclado, o navegador e as atividades do usuário com muito mais liberdade.

O Ciclo de Vida do Maverick: A Cadeia de Ataque Visualizada

Na nossa área, para entender uma ameaça, nós a “desenhamos”. Criei um diagrama de fluxo que mostra exatamente como o Maverick se move, desde a entrega até o roubo de dados e sua propagação.

Vamos analisar o fluxo:

Fase 1: Distribuição (O Vetor) Tudo começa com uma vítima anterior já infectada. O malware em seu PC usa sua sessão ativa do WhatsApp Web para enviar automaticamente a mensagem com o .ZIP para seus contatos. A engenharia social (“Abra no PC”) garante que a vítima vá para o alvo certo.
Fase 2: Execução (O Hospedeiro PC) A vítima, agora no seu computador, abre o .ZIP e clica no atalho .LNK. Este clique é o “gatilho” que inicia o ataque.
Fase 3: Infecção “Fileless” (Em Memória) Aqui está a parte mais inteligente do ataque. O .LNK chama o cmd.exe, que por sua vez executa o PowerShell. O PowerShell se conecta ao servidor do criminoso (C2) e baixa o malware principal (um componente .NET) diretamente para a memória RAM.Isso é chamado de ataque “Fileless” (sem arquivos), pois nada é salvo no disco rígido. Muitos antivírus tradicionais, que procuram por arquivos maliciosos no disco, são “cegados” por essa técnica.
Fase 4: Ação no Alvo (O Roubo) Uma vez na memória, o Maverick “acorda”. Ele primeiro verifica se está no Brasil (checa fuso horário e idioma). Se sim, ele começa a monitorar o usuário, esperando que ele acesse sites de bancos ou corretoras de criptomoedas. Ele então rouba credenciais usando keylogging (registrando o que é digitado) e capturando a tela.
Fase 5: Propagação (Reiniciando o Ciclo) Para fechar o ciclo, o malware detecta a sessão do WhatsApp Web da nova vítima e repete a Fase 1, espalhando-se para ainda mais pessoas.

Como se Proteger do Maverick

A boa notícia é que, embora sofisticado, o Maverick depende inteiramente de um erro humano inicial. O conhecimento é sua melhor defesa.

Desconfie de Arquivos .ZIP no WhatsApp: Empresas raramente enviam orçamentos ou comprovantes por WhatsApp dessa forma.
A Regra do .LNK: NUNCA clique em um arquivo de Atalho (.LNK) que veio de um e-mail ou mensagem. Atalhos servem para abrir programas no seu próprio PC, não para visualizar documentos.
O Alerta “Abra no PC”: Se uma mensagem do WhatsApp pedir para você mudar para o computador para ver um arquivo, desconfie 99,9% das vezes. É um forte indício de golpe.
Desconecte o WhatsApp Web: Se você suspeita que foi infectado, vá ao seu celular, entre no WhatsApp > Configurações > Aparelhos conectados, e desconecte todas as sessões ativas.
Mantenha seu Sistema Atualizado: Tenha um bom antivírus/solução de EDR (Endpoint Detection and Response) e mantenha o Windows e o navegador sempre atualizados.

O Maverick é um lembrete claro de que a cibersegurança é um jogo de gato e rato. Os criminosos adaptaram seu ataque perfeitamente, usando o celular como isca e o PC como alvo final.

Mantenha-se vigilante.

Veja mais:

https://www.broadcom.com/support/security-center/protection-bulletin/maverick-banking-trojan

Juliana Mascarenhas

Data Scientist and Master in Computer Modeling by LNCC.
Computer Engineer

Zabbix Tags: Como Organizar e Filtrar Alertas de Monitoramento

30 de janeiro de 2026 Nenhum comentário

Se você administra um ambiente Zabbix, provavelmente já passou por isso: uma tela de “Problemas”…

Ler mais

Roteamento por Inundação (Flooding): Como Funciona e Usos

13 de janeiro de 2026 Nenhum comentário

Vamos falar sobre uma das técnicas mais primitivas e, ao mesmo tempo, mais robustas de…

Ler mais

Algoritmo de Dijkstra e Roteamento: O Caminho Mais Curto na Internet

12 de janeiro de 2026 Nenhum comentário

Se você já usou um GPS para fugir do trânsito, já entende intuitivamente o problema…

Ler mais

VirtualBox: Configurar Rede Interna (Internal Network) – Guia

7 de janeiro de 2026 Nenhum comentário

Você precisa que suas máquinas virtuais (VMs) no VirtualBox se comuniquem entre si de forma…

Ler mais

Alerta de Segurança Urgente: Atualize seu Google Chrome e Android Agora (Zero-Day)

23 de dezembro de 2025 Nenhum comentário

Se você usa o Google Chrome no seu computador ou celular Android, pare o que…

Ler mais

Análise Forense de Arquivos ODT: Detectando Macros e Phishing no Linux

8 de dezembro de 2025 Nenhum comentário

Documentos de texto são vetores de ataque extremamente comuns. Muitas vezes, recebemos um arquivo que…

Ler mais

Cookie	Duração	Descrição
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category . / Definido pelo plugin GDPR Cookie Consent, este cookie é usado para registrar o consentimento do usuário para os cookies na categoria Publicidade = "Advertisement".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". / Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". / O cookie é definido pelo consentimento do cookie GDPR para registrar o consentimento do usuário para os cookies na categoria"Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". / Este cookie é definido pelo plug-in GDPR Cookie Consent. Os cookies são usados para armazenar o consentimento do usuário para os cookies na categoria "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other". / Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Other.".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". / Este cookie é definido pelo plug-in GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. / O cookie é definido pelo plug-in GDPR Cookie Consent e é usado para armazenar se o usuário consentiu ou não com o uso de cookies. Não armazena nenhum dado pessoal.

Cookie	Duração	Descrição
_tccl_visit	30 minutes	This cookie is set by the web hosting provider GoDaddy. This is a persistent cookie used for monitoring the website usage performance. / Este cookie é definido pelo provedor de hospedagem na web GoDaddy. Este é um cookie persistente usado para monitorar o desempenho de uso do site.
_tccl_visitor	1 year	This cookie is set by the web hosting provider GoDaddy. This is a persistent cookie used for monitoring the website usage performance. / Este cookie é definido pelo provedor de hospedagem na web GoDaddy. Este é um cookie persistente usado para monitorar o desempenho de uso do site.

Cookie	Duração	Descrição
__gads	1 year 24 days	The __gads cookie, set by Google, is stored under DoubleClick domain and tracks the number of times users see an advert, measures the success of the campaign and calculates its revenue. This cookie can only be read from the domain they are set on and will not track any data while browsing through other sites. / O cookie __gads, definido pelo Google, é armazenado no domínio da DoubleClick e rastreia o número de vezes que os usuários veem um anúncio, mede o sucesso da campanha e calcula sua receita. Este cookie só pode ser lido no domínio em que está configurado e não rastreará nenhum dado durante a navegação em outros sites.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors. / O cookie _ga, instalado pelo Google Analytics, calcula os dados do visitante, da sessão e da campanha e também acompanha o uso do site para o relatório de análise do site. O cookie armazena informações anonimamente e atribui um número gerado aleatoriamente para reconhecer visitantes únicos.
_ga_4S4FKY1F7W	2 years	This cookie is installed by Google Analytics.
_ga_8V3HHZY0KL	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_199766752_1	1 minute	Set by Google to distinguish users. / Definido pelo Google para distinguir os usuários.
_gh_sess	session	GitHub sets this cookie for temporary application and framework state between pages like what step the user is on in a multiple step form.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously. / Instalado pelo Google Analytics, o _gid cookie armazena informações sobre como os visitantes usam um site, ao mesmo tempo que cria um relatório analítico do desempenho do site. Alguns dos dados coletados incluem o número de visitantes, sua fonte e as páginas que visitam anonimamente.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Duração	Descrição
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies. / O test_cookie é definido por doubleclick.net e é usado para determinar se o navegador do usuário oferece suporte a cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duração	Descrição
_octo	1 year	No description available.
DEVICE_INFO	5 months 27 days	No description
FCCDCF	12 hours	No description available.
GoogleAdServingTest	session	No description / Sem descrição
logged_in	1 year	No description available.

A Pergunta de Ouro: Por que o PC e não o Celular?

1. A “Jaula” de Segurança do Celular (Sandboxing)

2. O Malware foi “Construído” para o Windows

O Ciclo de Vida do Maverick: A Cadeia de Ataque Visualizada

Como se Proteger do Maverick

Posts relacionados