A Kaspersky colaborou na ação coordenada pela INTERPOL que levou as autoridades brasileiras a prenderem cinco responsáveis pela operação do trojan bancário Grandoreiro. De acordo com estimativas conservadoras, esse grupo realizou golpes que podem somar mais de 3,5 milhões de euros em fraudes.
O Grandoreiro é um trojan bancário criado no Brasil que, segundo dados da Kaspersky, está ativo pelo menos desde 2016 e foi um dos primeiros grupos a exportar sua operação para a América Latina e Europa. Os ataques que utilizam o Grandoreiro começam frequentemente com um e-mail de spear-phishing escrito em espanhol, português ou inglês.
Uma vez instalado na máquina da vítima, o trojan rastreia as entradas do teclado, simula a atividade do mouse, compartilha telas, coletando dados como nomes de usuário, informações do sistema operacional, tempo de execução do dispositivo e, o mais importante, identificadores bancários. Com controle total sobre as contas bancárias das vítimas, os criminosos esvaziam-nas, enviando fundos através de uma rede de laranjas para distribuir os valores roubados.
O trojan tem muitas versões, o que indica que diferentes programadores estão envolvidos no desenvolvimento do malware, e foi o que fez os especialistas da Kaspersky a classificar o Grandoreiro como um projeto de Malware-as-a-Service (MaaS). O prolífico malware bancário tem como alvo mais de 900 instituições financeiras em mais de 40 países na América do Norte e Latina e Europa.
Como parte do esforço conjunto atual, a Kaspersky, juntamente com outros parceiros privados da INTERPOL, contribuíram para a análise de amostras do malware Grandoreiro, coletadas por investigações nacionais de cibercrimes brasileiras e espanholas entre 2020 e 2022. Nesse período, os produtos Kaspersky bloquearam 150.000 ataques desse trojan bancário em 40.000 clientes ao redor do mundo. Brasil, Espanha, México, Portugal, Argentina e EUA são os países mais afetados.
As constantes análises dessas amostras (que ocorreram até agosto de 2023) permitiram identificar sobreposições que permitiram aos investigadores se aproximar do responsáveis pelo grupo organizado.
“Temos testemunhado as campanhas do Grandoreiro pelo menos desde 2016. Ao longo do tempo, os atacantes têm melhorado regularmente as técnicas, esforçando-se para permanecerem indetectáveis e ativos por longos períodos de tempo. Nessas circunstâncias, é extremamente importante que as instituições financeiras permaneçam vigilantes e, ao mesmo tempo, melhorem as suas tecnologias antifraude e os dados de inteligência de ameaças. Uma maior sinergia entre organizações privadas e públicas também é fundamental para combater o cibercrime e garantir um ambiente mais seguro para as pessoas e organizações em todo o mundo”, comenta Fabio Assolini, chefe da Equipe Global de Pesquisa e Análise da América Latina (GReAT) da Kaspersky.
Enfatizando a importância de uma abordagem coletiva, Craig Jones, diretor da unidade de cibercrime da INTERPOL, afirmou: “Este sucesso operacional sublinha vividamente a importância do compartilhamento de informações por meio da INTERPOL e a razão pela qual estamos empenhados em agir como uma ponte entre os setores público e privado. Também prepara o terreno para uma maior cooperação na região.”
Conforme as famílias de trojans bancários, como o Grandoreiro, estão expandindo suas atuações para fora do Brasil, os especialistas da Kaspersky esperam ver um crescimento maior das versões de trojans bancários para celular. De acordo com as previsões da empresa para 2024 das ameaças financeiras, poderemos ver trojans bancários brasileiros tentando preencher o vazio deixado pelos trojans bancários de desktop, com o ressurgimento desses trojans se tornando uma das tendências que dominará o cenário de ameaças financeiras neste ano.