O trojan bancário Ousaban, nascido no Brasil e também conhecido como Javali, passou a atacar usuários de Windows na Espanha e em Portugal usando iscas de PDF falsos. Descoberto pela Fortinet em maio de 2026, o malware espiona mais de duas dúzias de bancos, rouba senhas e sequestra sessões bancárias em tempo real. O servidor de comando muda de endereço todos os dias para fugir do bloqueio.
Pontos-chave do ataque
- Ousaban é um trojan bancário brasileiro que agora mira Espanha e Portugal.
- A entrada acontece por um PDF falso que pede um botão “Atualizar”.
- O ataque usa geofencing: só entrega o malware a quem está na Espanha ou em Portugal.
- O payload fica escondido dentro de uma imagem por esteganografia.
- O servidor de controle muda de endereço todos os dias, baseado na data.
- Faz parte da “Tetrade”, grupo de trojans bancários brasileiros rotulado pela Kaspersky.
Como o golpe do PDF funciona
O ataque começa com um phishing simples e persuasivo. A vítima recebe um PDF disfarçado de arquivo corrompido — uma fatura, um documento fiscal ou um boleto, segundo o The Hacker News. Ao abrir, o documento mostra um aviso pedindo que a pessoa pressione um botão “Atualizar”. O truque é que um JavaScript escondido no PDF, codificado em hexadecimal, consegue abrir sozinho a página maliciosa sem que a vítima clique em nada.
A página se apresenta como um portal legítimo de documentos fiscais e instaladores. Ali começa uma triagem rigorosa: só quem passa recebe o vírus. Quem falha recebe um PDF falso com a mensagem “Acesso negado”, em espanhol, e nada de malware. É uma operação cirúrgica, feita para atingir só o alvo certo e confundir analistas de segurança.
A triagem geográfica do servidor
O coração da evasão é o geofencing. A página verifica endereço de IP, fuso horário e idioma do visitante e só libera o download para conexões vindas da Espanha ou de Portugal. Relata o CyberPress que o código bloqueia ativamente ferramentas de análise automática — sandboxes e crawlers — checando resolução de tela e capacidade de renderização do navegador, e rejeita IPs associados a VPNs.
A versão anterior fazia essa checagem dentro do próprio navegador. A atual transferiu as regras para o servidor do operador, escondendo os critérios exatos. Para quem mora no Brasil, a mensagem é clara: a mesma engenharia que hoje mira a Europa pode ser redirecionada de volta a bancos brasileiros a qualquer momento, bastando trocar as regras de geolocalização.
| Etapa do ataque | O que acontece |
|---|---|
| Iscagem | PDF falso de arquivo corrompido com botão “Atualizar” |
| Redirecionamento | JavaScript oculto abre página maliciosa automaticamente |
| Triagem | Servidor confere IP, fuso e idioma; só libera para Espanha/Portugal |
| Entrega | VBScript baixa imagem com ZIP escondido (esteganografia) |
| Persistência | Chave de registro “Financeiro” liga o vírus com o Windows |
| Ação | Espiona o banco, captura senhas e sequestra a sessão |
A ação do trojan na vítima
Depois de instalado, o Ousaban fica silencioso no Windows e espera a vítima abrir o site do banco. Quando a página-alvo carrega, o malware entra em ação. Segundo o relato do The Hacker News, ele captura tela e teclas digitadas, altera a área de transferência, exibe mensagens falsas por cima do site real e entrega controle remoto ao invasor. É o conjunto perfeito para sequestrar uma sessão bancária ao vivo e esvaziar a conta enquanto o cliente acha que está navegando com segurança.
A lista de alvos é extensa: o trojan vigia mais de duas dúzias de bancos, entre eles Banco Santander, BBVA, CaixaBank, Bankinter e Caixa Geral de Depósitos, conforme a Infosecurity Magazine. Para garantir a persistência, ele cria uma entrada de registro chamada “Financeiro” e solta um arquivo de configuração com data e hora, garantindo que volte a executar toda vez que o Windows inicia.
O truque do servidor diário
A parte mais sofisticada é o comando-e-controle. O servidor que dá ordens ao malware é propositalmente difícil de localizar. Ele carrega um link do Pastebin que aponta para um endereço — mas, segundo a Fortinet, esse endereço é uma isca. Esconder detalhes em serviços web é um hábito antigo do Ousaban: campanhas anteriores guardavam a configuração dentro do Google Docs.
A versão atual foi além. O servidor verdadeiro muda todos os dias. O malware lê a data atual em uma página do Google, monta um endereço web combinando essa data com uma chave secreta fixa e consulta o resultado. Bloquear o endereço de ontem não adianta. É uma engenharia pensada para tornar a defesa reativa quase inútil.
A família brasileira por trás
O Ousaban não está sozinho. A Kaspersky o agrupa, ao lado de Grandoreiro, Guildma e Melcoz, numa família que batizou de “Tetrade” — trojans bancários nascidos no Brasil que expandiram para a Espanha e Portugal e passaram a trocar código entre si. A criptografia de textos do Ousaban, por exemplo, é o mesmo esquema personalizado usado por outra família, a Casbaneiro.
O caso do Grandoreiro mostra quão durável é esse modelo de negócio. Ele sobreviveu a uma operação coordenada da Interpol em janeiro de 2024 e voltou à ativa em poucos meses, mantendo ataques contra bancos portugueses ainda em 2026. A Fortinet ainda liga a mesma infraestrutura do Ousaban a activity do final de 2025 que usava o golpe “ClickFix” — aquele em que a vítima cola um comando malicioso achando que está corrigindo um erro. Ou seja: é um ecossistema brasileiro maduro, reciclável e exportável.
O que você deve fazer
A defesa começa na isca. Trate qualquer PDF ou e-mail que afirme estar corrompido e peça um botão “Atualizar” como hostil. O mesmo vale para mensagens que pedem para colar um comando a fim de consertar um “erro”. Anexos inesperados de fatura, factura ou documento fiscal precisam ser tratados como suspeitos, principalmente quando chegam em outro idioma ou de remetente desconhecido.
No plano técnico, vale três passos concretos:
- Mantenha o antivírus do Windows ativo e atualizado, e considere uma solução com proteção comportamental, já que o ataque apaga os rastros logo após a execução.
- Habilite a dupla verificação (MFA) nas contas bancárias e prefira o app oficial do banco em vez do navegador sempre que possível.
- Monitore chaves de registro suspeitas, como qualquer entrada nomeada “Financeiro” na inicialização do Windows, sinal clássico de persistência desse trojan.
Leia também: entenda o golpe ClickFix que faz a vítima infectar o próprio PC, aprenda como identificar phishing em português no e-mail e veja como um stealer dedicado a roubar senhas se espalha por falhas conhecidas.