En marzo de este año, en una operación coordinada con la Interpol y otros agentes internacionales, la Policía Federal de Brasil arrestó a cinco individuos responsables del troyano bancario brasileño Grandoreiro. Sin embargo, la empresa global de ciberseguridad Kaspersky reveló que las actividades no se detuvieron y que en este año se han identificado dos nuevas versiones que está afectando a usuarios del Perú y otros países.
A nivel mundial, el troyano ha sido responsable de 150,000 intentos de ataque, dirigidos a clientes bancarios en 45 países y más de 276 billeteras digitales. Solo
está programado para realizar fraudes en 52 instituciones financieras, y la empresa de seguridad ha bloqueado
.
Grandoreiro es un troyano bancario de origen brasileño activo desde el 2016, que utiliza sitios web comprometidos y
phishing selectivo para someter a sus víctimas. Siguiendo un modelo de "
malware como servicio" (MaaS), el Grandoreiro permite que otros ciberdelincuentes lo compren para
realizar fraudes financieros en distintos países.
Lee también:
¡Cuidado! Troyano bancario peruano se esconde en aplicaciones falsas para robar dinero
Según el Panorama de Amenazas 2024 de Kaspersky, el Grandoreiro se ha convertido en el troyano bancario más activo en América Latina y ocupa el
sexto lugar a nivel mundial, siendo responsable del 5% de todos los intentos de ataque bloqueados por la empresa de seguridad en el mundo. Los países más afectados son Brasil (56,000 bloqueos), México (51,000), España (11,000), Argentina (6,400) y Perú (4,400).
Los blancos elegidos van desde bancos (pequeños, regionales y multinacionales), fintechs, cryptomonedas y billeteras, cooperativas y cajas, tarjetas de crédito, bancos centrales hasta sistemas de pagos.
Kaspersky jugó un papel crucial al colaborar con las fuerzas de seguridad mundiales e Interpol para identificar y capturar a los responsables, proporcionando muestras de malware obtenidas en cibercrímenes en Brasil y España durante investigaciones entre 2020 y 2022.
Durante la
Cyber Security Week 2024 de Kaspersky, realizada en agosto pasado en Colombia, Yuri do Amaral Nobre Maia, jefe del servicio de investigación de crímenes de alta tecnología de la Policía Federal Brasileña, detalló que el primer arresto se realizó en España (2021), donde la Guardia Civil, en el marco de la operación AGUAS VIVAS, desarticuló una organización destacada a estafar a través de Internet. Con ayuda de un software malicioso, instalado en el ordenador de la víctima con la técnica conocida como “email spoofing”, habrían conseguido desviar a sus cuentas grandes cantidades de dinero.
Lee también:
Meta usará reconocimiento facial para combatir estafas en Facebook e Instagram
En este operativo se detuvieron a 16 personas en Ribeira (A Coruña), Madrid, Parla y Móstoles (Madrid), Seseña (Toledo), Villafranca de los Barros (Badajoz) y Aranda de Duero (Burgos) por los presuntos delitos de estafa y pertenencia a una organización criminal. Se esclarecieron 20 delitos de estafa, por un importe total defraudado de 276470 euros, de los cuales se han podido recuperar 87000.
En el caso del segundo arresto (2023), Kaspersky colaboró con Interpol para interrumpir la operación del malware Grandoreiro. En ese momento, Brasil, México y Argentina figuraban entre los países más afectados por este troyano.
“El monitoreo de IPs proporcionó datos importantes para la investigación. Junto con otras informaciones obtenidas durante la investigación, fue posible identificar a los delincuentes responsables. La investigación continuó hasta llegar a su verdadero domicilio. Sin embargo, a medida que continúan los ataques, seguimos monitoreando constantemente las actividades del grupo y estamos en contacto con los expertos de Kaspersky”, explicó Yuri Maia.
Lee también:
¿Eres gamer? Descubre los riesgos de usar cracks y cheats en videojuegos
Dos nuevas versiones
El seguimiento de las investigaciones por parte de los expertos de Kaspersky ha resultado en la identificación de dos nuevas versiones del malware, ambas encontradas inicialmente en México.
La primera es una versión ampliada del código original, descubierta a mediados del año, que tenía como objetivo 1,367 organizaciones financieras en 45 países. En una actualización reciente (finales del tercer trimestre), la lista de objetivos aumentó a más de 1,700 organizaciones.
La segunda versión, encontrada recientemente (tercer trimestre de 2024), es una versión "light", basada en el código completo, pero reducida para
atacar específicamente a 30 bancos mexicanos, lo que representa una reducción del 30% en comparación con la versión anterior. A pesar de esta focalización, la versión light fue responsable de 15,000 intentos de ataque.
"Las recientes actualizaciones del código destacan la naturaleza evolutiva de esta amenaza. Las versiones fragmentadas y más ligeras podrían expandirse más allá de México y otras regiones, incluyendo fuera de América Latina. Sin embargo, creemos que solo unos pocos afiliados de confianza tienen acceso al código fuente del malware para desarrollar estas versiones personalizadas. El Grandoreiro opera de manera diferente al modelo tradicional de 'Malware como Servicio'. No encontrarás anuncios en foros clandestinos vendiendo el paquete Grandoreiro; en cambio, su acceso parece estar limitado", comentó Fabio Marenghi, investigador líder de seguridad en Kaspersky.
Más en Andina:
(FIN) NDP/ MFR