Los troyanos bancarios en América Latina
Con el objetivo de desmitificar los troyanos bancarios latinoamericanos, la compañía especialista en detección proactiva de amenazas ESET comenzó a desarrollar una serie de artículos sobre este tema. Además, dieron a conocer diversos hallazgos claves para entenderlos.
Se detalló que desde 2019 se han cubierto activos troyanos como: Amavaldo, Casbaneiro, Mispadu, Guildma, Grandoreiro, Mekotio, Vadokrist, Ousaban y Numando.
Explican que, aparte de Amavaldo, que quedó inactivo cerca de noviembre de 2020, todas las demás familias siguen activas al día de hoy. Brasil continúa siendo el país más atacado por estas familias de troyanos, seguido por España y México. Desde 2020, Grandoreiro y Mekotio se expandieron a Europa, principalmente a España.
Lo que comenzó como varias campañas menores, probablemente para probar el nuevo territorio, se convirtió en algo mucho más grande. De hecho, en agosto y septiembre de 2021 Grandoreiro lanzó su mayor campaña hasta la fecha, dirigida a España.
Mientras que Grandoreiro sigue dominando en España, Ousaban y Casbaneiro han dominado Brasil en los últimos meses. Mispadu parece haber cambiado su enfoque casi exclusivamente a México, ocasionalmente acompañado por Casbaneiro y Grandoreiro.
Los troyanos bancarios latinoamericanos solían actualizarse con mucha frecuencia. Hoy en día siguen cambiando con frecuencia, pero el núcleo parece permanecer casi intacto.
Para lograr que sus ataques sean exitosos, los troyanos bancarios latinoamericanos requieren de muchas condiciones:
• Las potenciales víctimas tienen que seguir ciertos pasos necesarios para instalar el malware en sus equipos.
• Las víctimas deben visitar uno de los sitios web que los atacantes tienen como objetivo e iniciar sesión en sus cuentas.
• Los operadores deben reaccionar ante esta situación y ordenar manualmente al malware que muestre la ventana emergente falsa y tome el control de la máquina de la víctima.
• Las víctimas no deben sospechar de la actividad maliciosa y posiblemente incluso tienen que introducir un código de autenticación.
“El descubrimiento más significativo en el curso de nuestra investigación es probablemente la expansión de Mekotio y Grandoreiro a Europa. Además de España, hemos observado pequeñas campañas dirigidas a Italia, Francia y Bélgica. Creemos que estos troyanos bancarios seguirán probando nuevos territorios para su futura expansión”, señala Camilo Gutiérrez, jefe del laboratorio de investigación de ESET Latinoamérica.
