Grandoreiro è un trojan bancario di origine brasiliana che, secondo i dati di Kaspersky, è attivo almeno dal 2016. Gli attacchi che utilizzano Grandoreiro iniziano spesso con un’e-mail di spear-phishing scritta in spagnolo, portoghese o inglese. Una volta installato sul computer della vittima, il trojan traccia gli input della tastiera, simula l’attività del mouse e condivide le schermate, raccogliendo dati come nomi utente, informazioni sul sistema operativo, tempo di esecuzione del dispositivo e, soprattutto, codici bancari. Avendo il pieno controllo sui conti bancari delle vittime, i criminali li svuotano, inviando i fondi attraverso una rete di money mule per riciclare i proventi illeciti.
Il trojan è disponibile in molte versioni, indicando che diversi operatori potrebbero essere coinvolti nello sviluppo del malware, dato che gli esperti di Kaspersky hanno visto Grandoreiro operare come Malware-as-a-Service (MaaS). Il prolifico malware bancario ha preso di mira oltre 900 istituzioni finanziarie in più di 40 Paesi dell’America del Nord e Latina e dell’Europa.
Nell’ambito di questa collaborazione, Kaspersky, insieme agli altri partner privati di INTERPOL, ha contribuito all’analisi dei campioni del malware Grandoreiro, raccolti dalle indagini nazionali brasiliane e spagnole sulla criminalità informatica tra il 2020 e il 2022. In questo periodo, i sistemi Kaspersky hanno rilevato 150.000 attacchi effettuati con il trojan bancario Grandoreiro su 40.000 utenti in tutto il mondo. Brasile, Spagna, Messico, Portogallo, Argentina e Stati Uniti sono stati i Paesi più colpiti.
Di conseguenza, ad agosto 2023, sono stati prodotti report analitici che hanno identificato le sovrapposizioni tra i campioni, consentendo agli investigatori di avvicinarsi al gruppo criminale organizzato.
“Le campagne di Grandoreiro sono attive almeno dal 2016. Nel corso del tempo, gli aggressori hanno migliorato regolarmente le tecniche, cercando di passare inosservati e restare attivi per periodi di tempo più lunghi. In queste circostanze, è estremamente importante che gli istituti finanziari prestino sempre attenzione e migliorino le loro tecnologie antifrode e i dati di intelligence sulle minacce. Una maggiore sinergia tra partner pubblici e privati è inoltre fondamentale per combattere questi crimini informatici e garantire un ambiente più sicuro per gli utenti e le organizzazioni di tutto il mondo”, ha commentato Fabio Assolini, Head of the Latin American Global Research and Analysis Team (GReAT) di Kaspersky.
Sottolineando l’importanza di un approccio collettivo, Craig Jones, Director dell’unità Cybercrime dell’INTERPOL, ha dichiarato: “Questo successo operativo sottolinea con forza l’importanza della condivisione dell’intelligence attraverso INTERPOL e il motivo per cui siano impegnati a fare da ponte tra il settore pubblico e quello privato. Inoltre, pone le basi per un’ulteriore cooperazione nella regione”.
Dal momento che le famiglie di trojan, come Grandoreiro, si stanno espandendo attivamente all’estero, gli esperti di Kaspersky prevedono un aumento dello sfruttamento dei trojan bancari mobile. Secondo le previsioni dell’azienda per il crimeware e le minacce finanziarie nel 2024, potremmo vedere trojan bancari brasiliani che cercano di riempire il vuoto lasciato dai trojan bancari per desktop, con il ritorno di questi trojan che diventa una delle tendenze che dominano il panorama delle minacce finanziarie di quest’anno.
