Grandoreiro es un tipo de 'malware' troyano bancario de origen brasileño que, una vez instalado en un dispositivo, es capaz de recopilar datos como nombres de usuario o información del sistema operativo, con el objetivo de acceder y controlar las cuentas bancarias de las víctimas para robar su dinero.
En el marco de una operación coordinada por Interpol, las autoridades brasileñas han intervenido para interrumpir una operación de robo de dinero a través del 'malware' Grandoreiro, que se ha saldado con el arresto de cinco actores maliciosos que estaban detrás de dicha operación.
Así lo ha compartido Kaspersky en un comunicado, en el que ha dado a conocer su participación en esta intervención policial para, a través de sus servicios, detectar y analizar la amenaza de 'malware' Grandoreiro.
Según ha detallado, al tratarse de un 'malware' activo desde, al menos, el año 2016, se estima que los ciberdelincuentes han utilizado el troyano Grandoreiro para robar a sus víctimas más de 3,5 millones de euros. Tras ello, enviaban el dinero robado a través de una red de 'mulas' de dinero para blanquear dichos ingresos.
En concreto, se trata de un tipo de troyano que se difunde a través de campañas de correo electrónico dirigidos ('spear-phishing'), escritos en español, portugués o inglés. De esta forma, se trata de un ataque con el que logran engañar a los usuarios para instalar el troyano en el dispositivo del afectado.
Una vez se ha instalado, Grandoreiro es capaz de rastrear las pulsaciones del teclado, simular la actividad del ratón, compartir pantalla y recopilar datos e información personal, como son los nombres de los usuarios, credenciales, información del sistema operativo o identificadores bancarios.
Los ciberdelincuentes disponen de esta información, consiguen acceder a las cuentas bancarias de los usuarios y obtener un control total de las mismas. Con todo ello, proceden a robar el dinero almacenado de las víctimas y a blanquearlo posteriormente.
No obstante, Kaspersky ha señalado que se trata de un troyano que dispone de "muchas versiones", por lo que varios operadores pueden estar involucrados en su desarrollo, además de los detenidos en esta última operación.
De hecho, según han subrayado los expertos en ciberseguridad de la compañía, Grandoreiro opera como un proyecto de 'Malware-as-Service' (MaaS). Esto es, un servicio que ofrecen los actores maliciosos para vender a terceros las herramientas necesarias para llevar a cabo fraudes a través de ciberataques.
Siguiendo esta línea, Kaspersky ha apuntando que, según sus investigaciones, con el 'malware' Grandoreiro como un MaaS, tiene como objetivo atacar a más de 900 instituciones financieras en más de 40 países de Europa, Norteamérica y Latinoamérica.
Incluso, dado que las familias de este tipo de troyanos se expanden activamente a nivel internacional, los expertos de Kaspersky han advertido de que esperan "ver un aumento" en la explotación de troyanos bancarios para 'smartphones'. también han asegurado que los troyanos bancarios brasileños "serán una de las tendencias que dominen el panorama de amenazas financieras este año", de acuerdo a sus predicciones para 2024.
COLABORACIÓN KASPERSKY CON INTERPOL
La compañía rusa de ciberseguridad ha señalado que, a la hora de contribuir a la investigación de la Interpol, lo hizo junto con otros socios privados. En concreto, facilitó análisis de muestras del 'malware' Grandoreiro recopiladas por investigaciones de cibercrimen de Brasil y España entre 2020 y 2022.
Así, durante este periodo, las investigaciones de Kaspersky detectaron 150.000 ataques con el 'malware' Grandoreiro, que afectaron a 40.000 usuarios a nivel global. Sobre todo, a usuarios de España, Brasil, México, Portugal, Argentina y Estados Unidos, que fueron los más afectados.
Tras estas investigaciones, Kaspersky elaboró en 2023 una serie de informes analíticos, a través de los que consiguieron identificar coincidencias entre las distintas muestras de los estudios. Esto permitió a los analistas acercarse al grupo de crimen organizado que, posteriormente, ha sido arrestado por las autoridades brasileñas.
En este sentido, el director de la Unidad de Ciberdelincuencia de Interpol, Craig Jones, ha subrayado la importancia de llevar a cabo este tipo de operaciones con un enfoque colectivo. Esto se debe a que, con este tipo de operativos "se pone de relieve la importancia del intercambio de información policial a través de Interpol", que actúa como puente en lo relacionado a los sectores público y privado.