Le malware tente de tromper ses victimes via des popups conçus pour ressembler aux sites web de certaines des plus grandes banques du Brésil. Il invite ensuite les victimes à saisir leurs identifiants bancaires et leurs informations personnelles. Il est capable de contrôler les fenêtres à l’écran, recueillir des informations à leur sujet, stopper le processus chrome (Google Chrome), faire des captures d’écran, enregistrer les frappes au clavier et les mouvements de la souris, et détourner le presse-papiers pour substituer en temps réel les adresses de portefeuilles bitcoins par celles des criminels.

Tout au long de 2020 et 2021, ESET a mené une série d’enquêtes sur des familles de chevaux de Troie bancaires ciblant l’Amérique latine. Janeleiro obéit au même schéma pour son implémentation principale que de nombreuses autres familles de malwares qui ciblent le Brésil. Cependant, il se distingue de ces familles à plusieurs égards, notamment le langage de programmation utilisé. Les chevaux de Troie bancaires brésiliens sont tous codés dans le même langage de programmation, Delphi. Janeleiro est le premier à être codé en .NET au Brésil. Il possède d’autres caractéristiques distinctes : pas d’obscurcissement, pas de chiffrement personnalisé et aucune défense contre les logiciels de sécurité.

La majorité des commandes de Janeleiro sont destinées au contrôle des fenêtres, de la souris et du clavier, et de ses faux popups. « La nature d’une attaque de Janeleiro ne se caractérise pas par ses fonctionnalités d’automatisation, mais plutôt par son approche pratique : dans de nombreux cas, l’opérateur doit ajuster les popups via des commandes exécutées en temps réel, » explique Facundo Muñoz, chercheur chez ESET qui a découvert Janeleiro.

« Il semble que le développement du cheval de Troie bancaire a commencé dès 2018, et qu’en 2020, le traitement des commandes a été amélioré pour fournir à l’opérateur un meilleur contrôle pendant les attaques, » ajoute M. Muñoz, qui poursuit : « La nature expérimentale de Janeleiro, basculant d’une version à une autre au gré des besoins révèle que son auteur essaie encore de trouver la bonne façon de gérer ses outils, mais qu’il n’en est pas moins expérimenté pour suivre le schéma unique de nombreuses familles de malwares d’Amérique latine. »

Il est intéressant de noter que ce pirate n’hésite pas à utiliser GitHub pour stocker ses modules, administrer la page de son « entreprise » et télécharger chaque jour de nouveaux référentiels dans lesquels il stocke les fichiers contenant les listes de ses serveurs de commande et de contrôle récupérées par les différentes versions du malware pour se connecter à leurs opérateurs. Lorsqu’un mot-clé relatif à une banque est trouvé sur la machine de la victime, le malware tente immédiatement de récupérer les adresses de ses serveurs de commande et de contrôle sur GitHub pour s’y connecter. Les faux popups sont créés dynamiquement à la demande et contrôlés par les opérateurs via des commandes. ESET a notifié GitHub de cette activité, mais au moment de la rédaction de ce communiqué, aucune mesure n’a été prise contre la page de l’auteur ou son compte.