Un nou val al troianului bancar Coyote ridică semne de alarmă în lumea securității cibernetice, după ce cercetătorii Akamai au descoperit că acesta folosește în mod abuziv o funcție legitimă din Windows — UI Automation (UIA) — pentru a fura date sensibile. Concepută inițial pentru a ajuta persoanele cu dizabilități să interacționeze mai ușor cu interfața grafică, funcția a devenit acum o armă digitală capabilă să ocolească numeroase măsuri de protecție.
Identificat pentru prima dată de Kaspersky în 2024, Coyote era deja cunoscut pentru tehnici clasice precum keylogging-ul, capturile de ecran și suprapunerile false peste pagini de autentificare. Noua versiune însă merge mai departe, analizând ferestrele active și conținutul lor pentru a detecta automat prezența unei bănci sau a unei platforme cripto, chiar și în lipsa unei conexiuni la internet.
Cum funcționează atacul
Mecanismul troianului pornește prin identificarea ferestrei active cu ajutorul API-ului GetForegroundWindow(). Dacă titlul corespunde unei instituții financiare vizate — lista actuală include 75 de bănci și exchange-uri cripto din Brazilia — începe imediat colectarea datelor. Dacă nu găsește o potrivire directă, malware-ul folosește UI Automation pentru a analiza elementele din fereastră, căutând butoane, câmpuri de text sau etichete care indică procese de autentificare sau tranzacții financiare.
Această metodă amintește de atacurile întâlnite pe Android, unde troienii bancari folosesc funcțiile de accesibilitate pentru a controla alte aplicații. Diferența este că, pe Windows, UIA oferă o cale standardizată și foarte puternică de acces la structura și conținutul interfețelor, eliminând necesitatea unor cunoștințe tehnice aprofundate despre fiecare program vizat.
Riscuri și măsuri de protecție
Deși momentan Coyote se concentrează pe Brazilia, experții avertizează că adaptarea lui pentru alte regiuni este relativ simplă, iar modul de operare poate fi preluat rapid de alte familii de malware. Acest lucru ridică un risc global, mai ales pentru utilizatorii care își gestionează frecvent conturile bancare online.
Pentru a reduce riscul de infectare, este recomandată actualizarea constantă a sistemului de operare și a aplicațiilor, verificarea atentă a motivelor pentru care un program solicită acces la funcțiile de accesibilitate și activarea autentificării multi-factor pentru toate conturile financiare. În plus, evitarea descărcării de aplicații din surse necunoscute rămâne o regulă de bază în protecția datelor personale.
Cazul Coyote demonstrează cât de ușor o funcție creată pentru incluziune digitală poate fi transformată într-un vector de atac sofisticat, punând în pericol securitatea financiară a utilizatorilor din întreaga lume.