“Essas semelhanças sugerem que o maverick pode ser uma evolução ou um projeto paralelo dos mesmos desenvolvedores do Coyote”, analisa Karpersky.

Conforme a empresa, ao abrir o arquivo, a ameaça verifica se a vítima está no Brasil — com análise de fuso horário, idioma e formato de dados e hora do computador — e só dá continuidade ao trabalho se detectar que as configurações são brasileiras. Ele também não funciona em celulares: mira computadores.  

Uma vez confirmado a nacionalidade, o malware inicia uma  cadeia de tecnologia complexa que ocorre totalmente na memória do computador , dificultando sua detecção. 

"O que mais chama a atenção no maverick é sua sofisticação e sua ligação com as características anteriores. Ele compartilha partes importantes do código com o Coyote, um trojan que foi descoberto em 2024, o que sugere que os infratores estão evoluindo e reescrevendo seus componentes para enfrentar os mais perigosos. Além disso, a capacidade de se mover automaticamente pelo WhatsApp o torna um worm com potencial de crescimento exponencial, elevando o impacto do golpe. É uma das cadeias de diagnóstico mais complexas que já vimos para um trojan bancário", comenta Anderson Leite, analista de segurança da Karpersky.

Como é o vírus?

Depois que conseguiu infectar o computador da vítima, o vírus tentou acessar um dos 26 bancos brasileiros ou as seis corretoras de criptomoedas monitoradas por ele — não foram ditas pela pesquisa quais são as instituições financeiras.

De acordo com especialistas, a ameaça é capaz de controlar totalmente o dispositivo, além de tirar capturas de tela, monitorar o acesso a sites, registrar o que é digitalizado e até mesmo utilizar a conta do WhatsApp da vítima para se espalhar para contatos dela, automatizando o envio de mensagens fraudulentas.