A solo dos meses de dar a conocer la exportación de Tetrade a Europa y América Latina, confirmamos la existencia de una quinta familia de troyanos bancarios brasileños que opera fuera del país: Amavaldo. Con la adición de esta nueva familia, la internacionalización de las campañas maliciosas brasileñas ahora pasa a llamarse ‘Pentaedro’. Además, la empresa detectó que el troyano Guildma, centrado en Brasil y la campaña más activa, ha evolucionado para dirigirse a teléfonos inteligentes Android con el objetivo de defraudar a los usuarios de la banca móvil.
Inicialmente, Tetrade estuvo formado por cuatro familias de troyanos bancarios (Guildma, Javali, Grandoreiro y Melcoz) que centran sus ataques tanto en Brasil como en países europeos (Portugal, España) y de la región (Chile y México). En los últimos dos meses, la empresa registró un aumento en el volumen de ataques realizados con estos troyanos bancarios. Para tener una idea, solo una cuenta de correo electrónico utilizada para tomar muestras de malware recibió 1.8 millones mensajes maliciosos en una semana, provocada por la infección de una de las familias de Tetrade.
En el caso de Guildma, Kaspersky identificó una nueva versión multiplataforma del troyano bancario, que además de instalarse en dispositivos Windows, también puede infectar smartphones Android. Esta modificación del malware se distribuye a través de correos electrónicos de phishing disfrazados de notificaciones o comunicaciones legítimas de empresas, y por ahora, sus actividades están centradas en Brasil. Sin embargo, según Fabio Assolini, analista senior de seguridad en Kaspersky, “la expansión de esta nueva versión a otros países es solo una cuestión de tiempo“.
“Creemos que esta nueva fase activa en Brasil ayudará a que la campaña madure antes de que pueda ser ‘exportada’. Una vez instalado en el dispositivo Windows o Android, el delincuente puede acceder a este de forma remota para realizar fraudes en Internet y banca móvil o capturar credenciales de forma silenciosa (solo Windows). Lo más curioso es que el usuario no puede eliminar el troyano al borrar la aplicación maliciosa del teléfono. Solo una solución de seguridad puede eliminarla, lo que reitera que los teléfonos inteligentes también necesitan una solución de seguridad, tal como las PCs”, comenta Assolini.
La mayor actualización anunciada por la empresa fue la confirmación de la 5ª familia de troyanos bancarios, cuyos ataques se extienden fuera de Brasil, convirtiendo a Tetrade en Pentaedro. Al igual que con las otras campañas, Amavaldo comenzó a operar en Brasil en 2015 y, se expandió a México solo recientemente. “Es interesante ver cómo se desarrolló esta campaña. Por medio de nuestro sistema basado en la nube (Kaspersky Security Network), confirmamos más de 3.000 ataques a través de este troyano en México, haciéndolo más activo fuera de Brasil”, informa Assolini.
En cuanto al desempeño del troyano, Assolini explica que los correos electrónicos maliciosos enviados por Amavaldo aprovechan temas locales, como supuestas transferencias que realiza el SPEI (sistema de transferencia de valores entre bancos mexicanos), mensajes de entrega de correos o supuestos problemas en el pago de impuestos. Estos son ejemplos de ataques de ingeniería social que también son comunes en Brasil. También se detectó el uso de términos incorrectos (“portuñol”) en algunos mensajes, lo que demuestra que los delincuentes no siempre son capaces de escribir los mensajes en correcto español. Además, el troyano utiliza un túnel SSH en las máquinas infectadas para evitar los bloqueos corporativos y el firewall, entre otras técnicas avanzadas.
“Brasil siempre ha estado entre los principales desarrolladores de troyanos bancarios. Según nuestras detecciones, Brasil ocupa el segundo lugar en el ranking de países más atacados por este tipo de amenazas. Con la internacionalización, los troyanos brasileños pueden tomar la delantera y esto representa una amenaza real. El sistema bancario brasileño está acostumbrado a los ataques de fraude a nivel nacional, pero no todos los bancos de América Latina y Europa cuentan con las mismas tecnologías de protección, lo que los hace vulnerables a estos ataques. Por eso, es muy importante que los equipos de seguridad tengan acceso a los últimos informes de inteligencia de amenazas“, aconseja Assolini.
Para proteger a las instituciones financieras contra Pentaedro, recomendamos:
- Brindar al personal de su centro de operaciones de seguridad acceso a los informes de inteligencia más recientes para que estén siempre actualizados con las nuevas herramientas, técnicas y tácticas utilizadas por grupos especializados. Los informes de inteligencia de amenazas financieras de Kaspersky contienen los índices de compromiso, las reglas YARA y los valores hash de estas amenazas, que se pueden utilizar para identificarlos en equipos comprometidos o para proteger a los clientes a gran escala mejorando la respuesta de los mecanismos antifraude.
- Informar a sus clientes sobre los trucos que emplean los delincuentes. Envíeles información periódica sobre cómo identificar el fraude y cómo eliminarlo.