Los troyanos bancarios latinoamericanos se expandén a otros países europeos

Los habituales de este blog ya deben de estar al tanto de que una de las tendencias más prevalentes en lo que respecta a malware durante 2020 son los troyanos bancarios con origen en América Latina. Desde que dieran el salto al continente europeo afectando primero a España y Portugal, y más recientemente a Italia, hemos analizado numerosas campañas que tratan de conseguir nuevas víctimas. Sin embargo, las últimas investigaciones apuntan a que los delincuentes están preparados para dar el salto a otros países europeos.

Una evolución esperada

Los troyanos bancarios pertenecientes a familias como Grandoreiro, Mekotio o Mispadu llevan tiempo entre nosotros, especialmente afectando a países de Latinoamérica. Sin embargo, desde principios de este 2020 fuimos observando como los delincuentes responsables de estas amenazas empezaban a expandir sus objetivos, siendo los usuarios de España y Portugal los primeros en verse afectados, debido a que en estos países usamos los mismos idiomas que los delincuentes ya habían empleado en las campañas ya observadas en América Latina. Este salto a países europeos tiene sentido, ya que se comparte lengua con ellos y los delincuentes solo tienen que adaptar sus plantillas al país objetivo para conseguir nuevas víctimas. En el caso de España y Portugal, los primeros correos maliciosos hacían referencia a la propagación de la COVID-19 durante esas semanas mencionando, por ejemplo, la rápida construcción de un hospital en la ciudad de Wuhan o dando supuestas indicaciones para evitar contagiarse, incluyendo la fabricación de una falsa vacuna casera.

Sin embargo, los delincuentes tardaron poco tiempo en adaptar sus campañas a cada país en concreto, y vimos envíos de correos con plantillas muy dirigidas a usuarios españoles. Entre las más destacables encontramos las que hacen referencia a multas de tráfico, facturas de la luz, la campaña de la renta, facturas de teléfono, cupones de Amazon, bloqueos judiciales, historiales de WhatsApp, o incluso descargas desde web de pornografía, por poner algunos ejemplos. También han sido destacables las campañas que han suplantado a varios ministerios españoles, como el de Trabajo y del Interior.

Ampliando horizontes

Según han informado desde el laboratorio de investigación de ESET, muestras detectadas recientemente de estas familias de troyanos bancarios han empezado a ser detectadas en países de nuestro entorno. Así pues, países como la ya mencionada Italia, Bélgica, Suiza, Países Bajos, Alemania, Francia, Reino Unido y Eslovaquia ya se han incluido entre la lista de objetivos de los delincuentes. De hecho, la actividad en países como Brasil ha disminuido significativamente en el último trimestre, mientras que en países como España se ha duplicado.

Esto se sabe por dos motivos, siendo el primero de ellos la inclusión de entidades bancarias de estos países entre los objetivos de los delincuentes. Estas familias de malware infectan a sus víctimas y esperan a que se conecten a alguna de las entidades que están monitorizando para mostrar pantallas de acceso fraudulentas y robar así las credenciales de acceso y los códigos de seguridad de un solo uso.

También se ha observado como los delincuentes han ido adaptando las plantillas ya vistas a cada país. Así pues, los investigadores han observado campañas haciéndose pasar por la empresa de mensajería DHL en Italia y supuestas multas de tráfico emitidas por el Ministerio de Transporte en Bélgica.

Conclusión

Parecía evidente que si estas campañas funcionaban bien en España y Portugal, los delincuentes iban a extenderlas por más países para maximizar los beneficios. Falta saber cómo reaccionarán los usuarios de estos países, ya que pueden aprovechar la experiencia que llevamos acumulando desde hace meses y también usando soluciones de seguridad capaces de detectar y bloquear estas amenazas.

Josep Albors

El troyano bancario Grandoreiro utiliza Facebook Messenger para propagarse