La principal vía de infección de Grandoreiro son los correos electrónicos. Los criminales envían estos e-mails a nombre de distintas empresas reconocidas, con supuestos comprobantes digitales de pago. Los mensajes incluyen un enlace y, con el uso de ingeniería social, engañan al usuario para que haga clic y descargue en su computadora una carpeta zip. Ésta contiene un archivo ejecutable (loader) que analiza el equipo de la víctima y, al confirmar que es un objetivo de interés, instalará el troyano.
Una vez que la computadora está infectada, el malware puede actuar con distintas técnicas para robar tanto la información financiera de las víctimas como su dinero. Por ejemplo, puede colocar una ventana de inicio de sesión falsa en el sitio real de una institución financiera, para que las personas introduzcan ahí sus nombres de usuario, números de cuentas y contraseñas. También puede obtener estos datos vía remota con herramientas que registran todo lo que se pulsa en el teclado, toman fotos o videos de la pantalla, o capturan los códigos de verificación que bancos y otras empresas han implementado para confirmar una transacción en línea.
Para hacerse con el dinero de las cuentas robadas, los criminales que operan Grandoreiro utilizan mulas de lavado, es decir, contratan a personas comunes para que reciban el monto en sus cuentas bancarias personales. También usan aplicaciones de envío de dinero en las que pueden vincular las cuentas robadas y hacer transferencias, o bien, retirar directamente el efectivo de cajeros automáticos.
Datos de Kaspersky indican que Grandoreiro ha estado activo desde 2016. Entre 2022 y 2023, a nivel mundial, se registraron más de 150 mil víctimas de esta amenaza que hoy tiene en la mira a más de 900 instituciones financieras en más de 40 países. Dado que sigue expandiéndose activamente, Kaspersky colaboró con la INTERPOL recientemente, compartiendo datos sobre este troyano bancario y su funcionamiento, lo que ayudó a las autoridades brasileñas a arrestar a administradores que estaban detrás de una operación de este malware.
Lamentablemente, esto no significa que su actividad haya terminado, pues el Equipo Global de Análisis e Investigación de Kaspersky ya identificó una nueva variante de Grandoreiro. En los primeros cuatro meses de 2024, se han registrado 8,100 víctimas en México. Los expertos identificaron que los correos electrónicos enviados por los criminales han empezado a utilizar de anzuelo el Comprobante Fiscal Digital por Internet (CFDI), una factura electrónica que avala las transacciones que realizan tanto usuarios como empresas en el país.
“La actividad de los troyanos bancarios es interesante. Por un lado, la detección de ataques de este malware está disminuyendo a nivel global. Sin embargo, si miramos hacia Latinoamérica podremos ver que esta amenaza se ha mantenido estable e incluso ha tenido picos de crecimiento, como ocurrió en 2023. Para este año, prevemos que más familias de troyanos bancarios brasileños se expandirán en todo el mundo pues los criminales detrás han aprovechado una ventana de oportunidad: llenar los huecos que dejaron los grupos que se han enfocado a otro tipo de ataques. Por eso, reiteramos la necesidad de que las organizaciones y entidades financieras sepan protegerse y resguardar la información de sus clientes y usuarios”, comentó Fabio Assolini, director del Equipo Global de Investigación y Análisis (GReAT) para América Latina en Kaspersky.
Asimismo, de acuerdo con el experto, para este año se espera que los cibercriminales incrementen sus ataques a la banca móvil y los sistemas de pago en tiempo real, ante una mayor adopción de estos por parte de empresas y usuarios, además de que también facilitan la actividad cibercriminal. Usando sistemas de pagos inmediatos o de transferencias automatizadas, los ciberdelincuentes pueden robar más dinero y distribuirlo en diversas cuentas. Esto puede ayudar a los troyanos bancarios móviles brasileños a convertirse en otra amenaza internacional para la industria financiera.
Para protegerse, Kaspersky recomienda a los responsables de las instituciones financieras: