En agosto del 2019 ESET, compañía líder en detección proactiva de amenazas, comenzó a desarrollar una serie de artículos con el objetivo de desmitificar los troyanos bancarios latinoamericanos. Desde entonces, se han cubierto los más activos, como es el caso de Amavaldo, Casbaneiro, Mispadu, Guildma, Grandoreiro, Mekotio, Vadokrist, Ousaban y Numando. Los troyanos bancarios de América Latina comparten muchas características y comportamientos, y estos vínculos en común han sido abordados en un whitepaper elaborado por ESET.
Hallazgos clave de la investigación:
- Los troyanos bancarios latinoamericanos son una amenaza continua y en evolución.
- Se dirigen principalmente a Brasil, España y México.
- Hay al menos ocho familias de malware diferentes que siguen activas al momento de esta publicación.
- Tres familias han quedado inactivas durante el transcurso de esta investigación.
- La gran mayoría se distribuye a través de correos de malspam, que suelen incluir un archivo ZIP o un instalador MSI
Aparte de Amavaldo, que quedó inactivo cerca de noviembre de 2020, todas las demás familias siguen activas al día de hoy. Brasil continúa siendo el país más atacado por estas familias de troyanos, seguido por España y México. Desde 2020, Grandoreiro y Mekotio se expandieron a Europa, principalmente a España. Lo que comenzó como varias campañas menores, probablemente para probar el nuevo territorio, se convirtió en algo mucho más grande. De hecho, en agosto y septiembre de 2021 Grandoreiro lanzó su mayor campaña hasta la fecha, dirigida a España. Mientras que Grandoreiro sigue dominando en España, Ousaban y Casbaneiro han dominado Brasil en los últimos meses. Mispadu parece haber cambiado su enfoque casi exclusivamente a México, ocasionalmente acompañado por Casbaneiro y Grandoreiro.
Los troyanos bancarios latinoamericanos solían actualizarse con mucha frecuencia. Durante los primeros días de seguimiento, algunos de ellos añadían o modificaban sus características principales varias veces al mes. Hoy en día siguen cambiando con frecuencia, pero el núcleo parece permanecer casi intacto. Debido al desarrollo parcialmente estabilizado, se cree que ahora los operadores están centrados en mejorar la distribución. Las campañas que vemos siempre vienen en oleadas y más del 90% de ellas se distribuyen a través de malspam. Una campaña suele durar como mucho una semana. En el tercer y cuarto trimestre de 2021, se observó que Grandoreiro, Ousaban y Casbaneiro han aumentado enormemente su alcance en comparación con su anterior actividad.
Para lograr que sus ataques sean exitosos, los troyanos bancarios latinoamericanos requieren de muchas condiciones:
- Las potenciales víctimas tienen que seguir ciertos pasos necesarios para instalar el malware en sus equipos.
- Las víctimas deben visitar uno de los sitios web que los atacantes tienen como objetivo e iniciar sesión en sus cuentas.
- Los operadores deben reaccionar ante esta situación y ordenar manualmente al malware que muestre la ventana emergente falsa y tome el control de la máquina de la víctima.
- Las víctimas no deben sospechar de la actividad maliciosa y posiblemente incluso tienen que introducir un código de autenticación.
Teniendo en cuenta lo mencionado previamente, es difícil estimar el impacto de los troyanos bancarios sólo basándose en la telemetría. Sin embargo, en junio de este año fue posible hacerse una idea del impacto de estos troyanos cuando las fuerzas de seguridad españolas detuvieron a 16 personas relacionadas con Mekotio y Grandoreiro. En el informe que publicaron, la policía afirma que robaron casi 300.000 euros y que lograron bloquear transferencias por un total de 3,5 millones de euros.
Desde que los troyanos bancarios latinoamericanos se expandieron a Europa han recibido más atención, tanto de los investigadores como de las fuerzas policiales. En los últimos meses se han visto algunas de sus mayores campañas hasta la fecha. Además, es posible que veamos cómo algunos de estos troyanos bancarios se expanden a la plataforma Android. Sin embargo, como seguimos observando que los desarrolladores mejoran activamente sus binarios Delphi, se cree que no abandonarán su arsenal actual.
Aunque la implementación de muchos troyanos bancarios latinoamericanos es algo engorrosa y complicada, representan un enfoque diferente para atacar las cuentas bancarias de las víctimas. A diferencia de los troyanos bancarios más conocidos del pasado reciente, no utilizan la inyección en el navegador web. En su lugar, diseñan una ventana emergente que probablemente sea un proceso mucho más rápido y sencillo. Los operadores detrás de la amenaza ya tienen a su disposición plantillas que modifican fácilmente para una lista de diferentes instituciones financieras. Esta es su principal ventaja.
La principal desventaja, es que hay muy poca o ninguna automatización en el proceso de ataque. Sin la participación activa del atacante, el troyano bancario no hará casi ningún daño. La pregunta de cara al futuro es si algún tipo de malware nuevo intentará automatizar este enfoque.
“El descubrimiento más significativo en el curso de nuestra investigación es probablemente la expansión de Mekotio y Grandoreiro a Europa. Además de España, hemos observado pequeñas campañas dirigidas a Italia, Francia y Bélgica. Creemos que estos troyanos bancarios seguirán probando nuevos territorios para su futura expansión.”, señala Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
“Nuestra telemetría muestra un aumento sorprendente en el alcance de Ousaban, Grandoreiro y Casbaneiro en los últimos meses. Esto nos lleva a concluir que los actores de la amenaza detrás de estas familias de malware están decididos a continuar sus acciones nefastas contra los usuarios en los países objetivo. ESET continuará rastreando estos troyanos bancarios y manteniendo a los usuarios protegidos ante estas amenazas.”, concluye Gutiérrez.
Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2021/12/15/analisis-12-troyanos-bancarios-america-latina/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw
