Un nou val al troianului bancar Coyote provoacă îngrijorare în rândul experţilor în securitate, după ce cercetătorii Akamai au descoperit că malware-ul exploatează o funcţie legitimă a sistemului Windows – UI Automation (UIA) – pentru a fura credenţiale bancare şi date din platforme cripto. Această funcţie, creată pentru a ajuta persoanele cu dizabilităţi să interacţioneze mai uşor cu interfaţa grafică, este acum transformată într-un canal eficient de spionaj cibernetic.
Potrivit cercetătorilor, noua versiune a troianului se concentrează în prezent pe utilizatorii din Brazilia şi a extins lista instituţiilor vizate la 75 de bănci şi exchange-uri. Coyote a fost identificat iniţial de Kaspersky în 2024, fiind deja cunoscut pentru metodele tradiţionale de furt, precum keylogging-ul, capturile de ecran sau suprapunerile false peste paginile de autentificare.
Ceea ce face această nouă variantă mai periculoasă este modul în care foloseşte UI Automation. Malware-ul identifică mai întâi fereastra activă prin API-ul GetForegroundWindow(). Dacă titlul acesteia corespunde unei bănci sau platforme vizate, începe automat colectarea datelor. Dacă nu, troianul analizează în profunzime conţinutul ferestrei folosind UIA, căutând indicii vizuale care ar putea semnala prezenţa unui serviciu financiar. Astfel, chiar şi în lipsa unei conexiuni la internet, Coyote poate detecta o ţintă şi poate intercepta datele introduse de utilizator.
Această abordare aminteşte de tacticile folosite de malware-ul bancar pe Android, care abuzează funcţiile de accesibilitate pentru a interacţiona cu alte aplicaţii. Fără UI Automation, un astfel de nivel de acces ar fi imposibil fără cunoaşterea detaliată a structurii fiecărei aplicaţii. În schimb, UIA oferă o metodă standardizată şi puternică de a accesa informaţii sensibile.
Deşi în prezent atacurile se concentrează pe Brazilia, experţii avertizează că malware-ul poate fi adaptat cu uşurinţă pentru alte pieţe. Recomandările includ actualizarea constantă a sistemelor, evitarea aplicaţiilor care cer acces la funcţiile de accesibilitate fără un motiv clar şi activarea autentificării multi-factor pentru toate conturile financiare.
Succesul tacticii folosite de Coyote ar putea încuraja şi alte familii de malware să adopte aceeaşi metodă, transformând o funcţie creată pentru incluziune într-un vector global de atac cibernetic.
