Las campañas de troyanos bancarios en Brasil ya son, lamentablemente, algo habitual. Un nuevo caso pone a WhatsApp en el centro de la escena, esta vez como vector de distribución del conocido troyano bancario Astaroth. Investigadores revelaron los detalles de una campaña activa que utiliza la app de mensajería para enviar de forma automática archivos maliciosos a los contactos de la víctima. La operación fue bautizada como Boto Cor-de-Rosa por el equipo de Acronis.

Según el informe, el malware obtiene la lista de contactos de WhatsApp de la víctima y dispara mensajes maliciosos a cada uno para ampliar la infección. Lo interesante es que, aunque el núcleo del payload de Astaroth sigue programado en Delphi y su instalador se basa en Visual Basic Script, el nuevo módulo tipo “gusano” está desarrollado íntegramente en Python, lo que muestra un uso cada vez mayor de componentes modulares y multilenguaje por parte de los actores de amenaza. Y también un crecimiento en el uso de Python, que ya habíamos visto en campañas anteriores en Brasil.

Astaroth (también conocido como Guildma) es un malware bancario activo desde 2015, con un foco muy marcado en América Latina y, especialmente, en Brasil. Durante 2024 se registraron actividades que se apoyaron en correos de phishing para distribuirlo. Ahora, el uso de WhatsApp como vehículo de entrega se suma como una táctica nueva entre grupos que apuntan a usuarios brasileños, impulsada por el enorme uso de la plataforma en el país.

Este cambio táctico no es aislado: el mes pasado, Trend Micro detalló cómo Water Saci utilizó WhatsApp para propagar otras amenazas. Además, un reporte de Sophos publicado en noviembre de 2025 reveló una campaña también orientada a usuarios de WhatsApp en Brasil con el mismo troyano. Según ese informe, más del 95% de los dispositivos afectados estaban en Brasil, con algunos casos detectados en EE.UU. y Austria.

El mecanismo de infección identificado arranca con archivos ZIP distribuidos a través de WhatsApp. Cuando la víctima extrae y abre el archivo, se encuentra con un script en Visual Basic disfrazado de archivo legítimo. Al ejecutarlo, se descargan los componentes necesarios y comienza el compromiso. Entre ellos hay dos módulos clave: uno de propagación en Python, que reenvía el ZIP malicioso a los contactos de la víctima; y otro bancario, que monitorea la actividad del navegador y se activa ante URLs relacionadas con banca para robar credenciales.

Finalmente, Acronis señaló que el código incluye un sistema de seguimiento en tiempo real, capaz de registrar estadísticas como mensajes enviados con éxito, intentos fallidos y velocidad de envío por minuto. Un mecanismo que no solo facilita la expansión del malware, sino también la medición del impacto por parte del operador.

Teniendo en cuenta que Brasil es un destino altamente turístico para usuarios de toda la región, hay que mantenerse alerta al usar WhatsApp en el país o si se mantiene contacto con servicios del país, como alojamientos, posadas, etc. Conviene extremar precauciones frente a archivos que lleguen sin contexto o de forma inesperada.