Em agosto de 2019, a ESET, empresa líder em detecção proativa de ameaças, começou a desenvolver uma série de artigos com o objetivo de desmistificar os cavalos de Troia bancários da América Latina. Desde então, foram abordados os mais ativos, como Amavaldo, Casbaneiro, Mispadu, Guildma, Grandoreiro, Mekotio, Vadokrist, Ousaban e Numando. Os cavalos de Troia bancários latino-americanos compartilham muitas características e comportamentos, e esses links comuns foram tratados em um white paper produzido pela ESET.
Principais descobertas da pesquisa:
Os cavalos de Troia bancários latino-americanos são uma ameaça contínua e em evolução.
Eles vão principalmente para o Brasil, Espanha e México.
Existem pelo menos oito famílias de malware diferentes que ainda estão ativas no momento desta publicação.
Três famílias permaneceram inativas durante o curso desta investigação.
A grande maioria é distribuída por meio de e-mails malspam, que geralmente incluem um arquivo ZIP ou um instalador MSI.
Com exceção do Amavaldo, que se tornou inativo por volta de novembro de 2020, todas as outras famílias ainda estão ativas até hoje. O Brasil continua sendo o país mais atacado por essas famílias troianas, seguido pela Espanha e pelo México. Desde 2020, Grandoreiro e Mekotio se expandiram para a Europa, principalmente para a Espanha. O que começou como várias campanhas menores, provavelmente para testar o novo território, tornou-se algo muito maior.
Os três países mais afetados pelos cavalos de Troia bancários da América Latina
Os cavalos de Troia bancários latino-americanos costumavam ser atualizados com muita frequência. Durante os primeiros dias de acompanhamento, alguns deles acrescentaram ou modificaram suas características principais várias vezes ao mês. Hoje eles continuam mudando com frequência, mas o núcleo parece permanecer quase intacto. Devido ao desenvolvimento parcialmente estabilizado, as operadoras agora estão focadas em melhorar a distribuição. As campanhas que vemos vêm sempre em ondas e mais de 90% delas são distribuídas por meio do malspam. Uma campanha geralmente dura no máximo uma semana. No segundo semestre de 2021, observou-se que os Grandoreiro, Ousaban e Casbaneiro aumentaram muito seu alcance em relação à atividade anterior.
Para tornar seus ataques bem-sucedidos, os cavalos de Troia bancários latino-americanos exigem muitas condições:
As vítimas em potencial devem seguir certas etapas necessárias para instalar o malware em seus computadores.
As vítimas devem visitar um dos sites que os invasores têm como alvo e fazer login em suas contas.
Os cibercriminosos precisam reagir a esta situação e ordenar manualmente que o malware mostre o popup falso e assuma o controle da máquina da vítima.
As vítimas não devem suspeitar de atividades maliciosas e, possivelmente, até mesmo ter que inserir um código de autenticação.
Considerando o que foi mencionado acima, é difícil estimar o impacto dos cavalos de Troia bancários apenas com base na telemetria. No entanto, em junho deste ano foi possível ter uma ideia do impacto desses troianos quando as forças de segurança espanholas prenderam 16 pessoas relacionadas com os Mekotio e Grandoreiro. No relatório que publicou, a polícia afirma que roubaram quase 300 mil euros e conseguiram bloquear as transferências no valor de 3,5 milhões de euros.
“Nossa telemetria mostra um surpreendente aumento no alcance dos trojans Ousaban, Grandoreiro e Casbaneiro nos últimos meses. Isso nos leva a concluir que os agentes de ameaças por trás dessas famílias de malware estão determinados a continuar suas ações nefastas contra usuários nos países-alvo. A ESET continuará a rastrear esses trojans bancários e a manter os usuários protegidos contra essas ameaças”, afirma Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa da ESET América Latina.