ESET, leader globale nel mercato della cybersecurity, ha concluso la sua indagine dedicata alla demistificazione dei trojan bancari latinoamericani iniziata nell’agosto 2019. Da allora, ha esaminato quelli più attivi, ovvero Amavaldo, Casbaneiro, Mispadu, Guildma, Grandoreiro, Mekotio, Vadokrist, Ousaban e Numando, che condividono tra loro molte caratteristiche e comportamenti.
Complessivamente, ESET ha identificato una dozzina di diverse famiglie di malware, la maggior parte delle quali è tutt’ora attiva.
La scoperta più importante avvenuta nel corso di questa indagine è l’espansione di Mekotio e Grandoreiro in Europa, soprattutto in Spagna; a ciò si affiancano delle piccole campagne occasionali che sono state osservate dai ricercatori ESET in Italia, Francia e Belgio.
Da quando si sono espansi in Europa, e ciò è avvenuto in modo sempre più consistente negli ultimi mesi, i trojan bancari latinoamericani hanno ottenuto sempre più attenzione sia dai ricercatori che dalle forze di polizia
La telemetria di ESET mostra un aumento sorprendente nella portata di Ousaban, Grandoreiro e Casbaneiro negli ultimi mesi, che fa supporre che gli autori delle minacce dietro queste famiglie di malware siano determinati a continuare le loro azioni malevole contro gli utenti presenti nei paesi target.
È stato rilevato che queste campagne si presentano sempre a ondate e più del 90% di esse sono distribuite attraverso spam e, in genere, sono indirizzate a un archivio ZIP o a un installer MSI. Una campagna di solito dura al massimo una settimana.
“Il Brasile è ancora il paese più bersagliato, seguito da Spagna e Messico. Dal 2020, Grandoreiro e Mekotio si sono espansi in Europa, principalmente in Spagna. Ciò che è iniziato con svariate campagne minori, probabilmente per testare il nuovo territorio, si è evoluto in qualcosa di molto più grande. Infatti, in agosto e settembre 2021, Grandoreiro ha lanciato la sua più grande campagna finora e ha preso di mira la Spagna”, ha spiegato Jakub Souček, ricercatore di ESET che conduce le indagini sui trojan bancari latinoamericani.
Nel giugno 2021 le forze dell’ordine spagnole hanno arrestato 16 persone legate a Mekotio e Grandoreiro. La polizia ha precisato che sono stati rubati quasi 300.000 euro, ma che è stato possibile bloccare il trasferimento di un totale di 3,5 milioni di euro. Correlando questo arresto con l’attività dei trojan bancari latinoamericani in Spagna, parrebbe che le persone fermate fossero legate a Mekotio, anche se ESET ne ha rilevato ulteriori movimenti.
I trojan bancari dell’America Latina sono soliti cambiare rapidamente. Nei primi giorni del monitoraggio di ESET, alcuni di loro aggiungevano o modificavano le caratteristiche principali anche più volte al mese. Oggi cambiano ancora molto spesso, ma il nucleo sembra rimanere per lo più intatto. Proprio in ragione di uno sviluppo parzialmente stabilizzato, ESET ritiene che gli operatori si stiano ora concentrando sul miglioramento della distribuzione.
“I trojan bancari latinoamericani richiedono che vengano soddisfatte molte condizioni perché l’attacco abbia successo”, spiega Souček. “Le potenziali vittime devono seguire i passi necessari per installare il malware sulle loro macchine; devono visitare un sito web mirato e accedere ai propri conti. Dall’altro lato, gli operatori devono reagire a questa situazione, guidando manualmente il malware per visualizzare la finta finestra pop-up e prendere il controllo della macchina della vittima”.
Nel corso di questa serie di ricerche, diversi trojan bancari latinoamericani sono diventati inattivi, in particolare Krachulka, Lokorrito e Zumanek. Recentemente, i ricercatori ESET hanno anche scoperto Janeleiro, un nuovo trojan bancario latinoamericano. In futuro, ESET prevede l’espansione alla piattaforma Android di alcuni di questi trojan bancari.