Grandoreiro es un virus troyano bancario de origen brasileño que, según datos de la empresa rusa de seguridad cibernética Kaspersky, lleva activo al menos desde 2016 y puede vaciar las cuentas bancarias.
Grandoreiro es un virus troyano que se almacena en dispositivos como teléfonos celulares, y una vez en el sistema “aprende” ciertos comportamientos que le permiten extraer información sensible.
Según la empresa rusa Kaspersky, los ataques realizados a través de este malware suelen comenzar con un correo electrónico escrito en español, portugués o inglés.
Una vez instalado en el dispositivo de la víctima, el troyano rastrea las pulsaciones del teclado, simula la actividad del ratón, comparte pantallas y recopila datos como nombres de usuario, información del sistema operativo, tiempo de ejecución del dispositivo y, lo más importante, identificadores bancarios.
“Cuando los atacantes se hacen con el control total de las cuentas bancarias de las víctimas las vacían, enviando los fondos a través de una red de ‘mulas’ de dinero para el lavado de los ingresos ilícitos”, explicó Kaspersky.
De acuerdo con la empresa, el troyano cuenta con muchas versiones, lo que podría indicar que diferentes operadores están involucrados en el desarrollo del malware.
Según los expertos rusos de Kaspersky, Grandoreiro opera como un proyecto de Malware-as-a-Service (MaaS) y tiene como objetivo atacar a más de 900 instituciones financieras en más de 40 países de Europa, Norteamérica y Latinoamérica.
Kaspersky colaboró en una acción coordinada por Interpol, que llevó a las autoridades brasileñas a arrestar a cinco administradores que estaban detrás de una operación del virus. Según las estimaciones, se cree que los ciberdelincuentes han robado a sus víctimas más de 3.5 millones de euros.
México, entre los países más afectados por Grandoreiro
Como parte de esta colaboración, Kaspersky, junto con otros socios privados de Interpol, contribuyó al análisis de muestras del malware Grandoreiro, recopiladas por investigaciones de cibercrimen de Brasil y España entre 2020 y 2022.
Durante este periodo, los productos de Kaspersky detectaron 150,000 ataques con el uso de Grandoreiro en 40,000 usuarios de todo el mundo.
España, Brasil, México, Portugal, Argentina y Estados Unidos resultaron ser los países más afectados. Asimismo, en agosto de 2023 se elaboraron informes analíticos que identificaron coincidencias entre las muestras, lo que permitió a los analistas acercarse al grupo de crimen organizado.
Fabio Assolini, director del Equipo Global de Investigación y Análisis (GReAT) para América Latina en Kaspersky, advirtió que lo atacantes han ido mejorando sus técnicas por lo que es importante que las instituciones financieras se mantengan vigilantes y mejoren sus tecnologías antifraude y sus datos de inteligencia sobre amenazas.
Por su parte, Craig Jones, director de la Unidad de Ciberdelincuencia de Interpol, subrayó la importancia de un enfoque colectivo:
“Este éxito operativo pone de relieve la importancia del intercambio de información policial a través de Interpol, y por qué nos hemos comprometido a actuar como puente entre los sectores público y privado. También sienta las bases para una mayor cooperación en la región”.
Dado que familias de troyanos, como Grandoreiro, se han expandido activamente en el extranjero, los expertos de Kaspersky esperan ver un aumento en la explotación de troyanos bancarios para celulares.
De acuerdo con las predicciones de la compañía para el crimeware y las amenazas financieras en 2024, los troyanos bancarios brasileños serán una de las tendencias que dominen el panorama de amenazas financieras este año, por lo que es importante tener cuidado de abrir correos o redes de personas desconocidas.