Trojans como Amavaldo está mais ativo no México do que no Brasil. Além disso, Guildma passa a atacar mobile banking
Apenas dois meses depois de anunciar a atuação do Tetrade na Europa e América Latina, a Kaspersky confirma a 5ª família de trojans bancários brasileiros atuando fora do País – o Amavaldo. Desta forma, a internacionalização das campanhas maliciosas brasileiras passa a se chamar Pentaedro.
Outra evolução ocorreu no trojan Guildma, que mantém seu foco no Brasil e é a campanha mais ativa, mas, agora, ataca também os smartphones Android visando fraudes no mobile banking.
O Tetrade, inicialmente, era formado por quatro famílias de trojans bancários (Guildma, Javali, Grandoreiro e Melcoz) que atacam tanto no Brasil, quanto em países como Portugal, Espanha, Chile e México.
Nos últimos dois meses, A Kaspersky identificou aumento no volume de ataques usando esses trojans bancários. Para se ter uma ideia, apenas uma conta de e-mail usada para colher amostras de malware recebeu, em uma semana, 1.8 milhão de mensagens maliciosas que levavam à infecção por uma das famílias do Tetrade.
No caso do Guildma, a Kaspersky identificou ainda uma nova versão multiplataforma do trojan bancário, que além de se instalar em dispositivos Windows, consegue infectar smartphones Android.
Esta modificação do malware é distribuída por e-mails de phishing disfarçados como notificações ou comunicados legítimos de empresas, e sua atuação, por ora, está focada no Brasil. “Mas é inevitável que ele vá se expandir para outros países em breve“, afirma Fabio Assolini, analista sênior de segurança da Kaspersky no Brasil.
“Acreditamos que esta fase em terras nacionais sirva para o amadurecimento da campanha antes que ela possa ser ‘exportada’. Uma vez instalado no dispositivo Windows ou Android, o criminoso pode acessar o dispositivo remotamente para realizar fraudes no internet/mobile banking, ou capturar credenciais de forma silenciosa (apenas no Windows).”
“O mais curioso é que o usuário não consegue remover o trojan tentando deletar o app malicioso no celular, apenas uma solução de segurança consegue removê-lo e esperamos que isso finalmente faça com que as pessoas acreditem que smartphone também precisa de proteção como os PCs“, afirma Assolini .
A principal atualização na exportação do malware brasileiro foi a confirmação da 5ª família de trojans bancários atuando fora do País, tornando o Tetrade em Pentaedro. Assim com as demais campanhas, o Amavaldo começou a operar no Brasil em 2015, mas só recentemente se expandiu para o México.
“Interessante ver como esta campanha se desenvolveu. Verificamos mais de três mil ataques deste trojan no México em nosso sistema de proteção em nuvem (Kaspesky Security Network) e já vemos este malware mais ativo fora do País do que no Brasil“, relata Assolini.
Quanto à atuação do trojan, Assolini explica que os e-mails maliciosos enviados pelo Amavaldo se valem de muitos temas locais, como supostas transferências feitas pelo SPEI (sistema de transferência de valores entre os bancos mexicanos), mensagens de entrega dos Correios ou de supostos problemas de impostos não pagos – exemplos de engenharia social que também são comuns nos ataques no Brasil.
Também foi detectado em algumas mensagens o uso de termos incorretos (“portunhol”), demonstrando que nem sempre os criminosos conseguem escrever corretamente as mensagens em espanhol. Além disso, o trojan se vale de túnel SSH nas máquinas infectadas para burlar bloqueios corporativos e firewall, entre outras técnicas avançadas.
“O Brasil sempre figurou entre os principais desenvolvedores de trojan bancários. De acordo com nossas detecções, o País é o segundo colocado no ranking dos países mais atacados por este tipo de ameaça. Com esta internacionalização, os trojans brasileiros podem alçar a liderança e isto representa uma ameaça real.”
“O sistema bancário brasileiro está acostumado com as fraudes nacionais, mas nem todos os bancos na América Latina e Europa contam com as mesmas tecnologias de proteção, o que os torna vulneráveis a estes ataques. Por isso, é muito importante que as equipes de segurança tenham acesso aos mais recentes relatórios de inteligência de ameaças”, aconselha o analista sênior da Kaspersky no Brasil.
ESET alerta: e-mail falso da Amazon propaga novo trojan