ESET, uno dei leader globale nel mercato della cybersecurity, ha concluso la sua indagine dedicata alla demistificazione dei trojan bancari latinoamericani iniziata nell’agosto 2019. Da allora, ha esaminato quelli più attivi, ovvero Amavaldo, Casbaneiro, Mispadu, Guildma, Grandoreiro, Mekotio, Vadokrist, Ousaban e Numando, che condividono tra loro molte caratteristiche e comportamenti. Complessivamente, ESET ha identificato una dozzina di diverse famiglie di malware, la maggior parte delle quali è tutt’ora attiva. La scoperta più importante avvenuta nel corso di questa indagine è l’espansione di Mekotio e Grandoreiro in Europa, soprattutto in Spagna; a ciò si affiancano delle piccole campagne occasionali che sono state osservate dai ricercatori ESET in Italia, Francia e Belgio. Da quando si sono espansi in Europa, e ciò è avvenuto in modo sempre più consistente negli ultimi mesi, i trojan bancari latinoamericani hanno ottenuto sempre più attenzione sia dai ricercatori che dalle forze di polizia
La telemetria di ESET mostra un aumento sorprendente nella portata di Ousaban, Grandoreiro e Casbaneiro negli ultimi mesi, che fa supporre che gli autori delle minacce dietro queste famiglie di malware siano determinati a continuare le loro azioni malevole contro gli utenti presenti nei paesi target.
È stato rilevato che queste campagne si presentano sempre a ondate e più del 90% di esse sono distribuite attraverso spam e, in genere, sono indirizzate a un archivio ZIP o a un installer MSI. Una campagna di solito dura al massimo una settimana.
Nel giugno 2021 le forze dell’ordine spagnole hanno arrestato 16 persone legate a Mekotio e Grandoreiro. La polizia ha precisato che sono stati rubati quasi 300.000 euro, ma che è stato possibile bloccare il trasferimento di un totale di 3,5 milioni di euro. Correlando questo arresto con l’attività dei trojan bancari latinoamericani in Spagna, parrebbe che le persone fermate fossero legate a Mekotio, anche se ESET ne ha rilevato ulteriori movimenti.
I trojan bancari dell’America Latina sono soliti cambiare rapidamente. Nei primi giorni del monitoraggio di ESET, alcuni di loro aggiungevano o modificavano le caratteristiche principali anche più volte al mese. Oggi cambiano ancora molto spesso, ma il nucleo sembra rimanere per lo più intatto. Proprio in ragione di uno sviluppo parzialmente stabilizzato, ESET ritiene che gli operatori si stiano ora concentrando sul miglioramento della distribuzione.
Nel corso di questa serie di ricerche, diversi trojan bancari latinoamericani sono diventati inattivi, in particolare Krachulka, Lokorrito e Zumanek. Recentemente, i ricercatori ESET hanno anche scoperto Janeleiro, un nuovo trojan bancario latinoamericano. In futuro, ESET prevede l’espansione alla piattaforma Android di alcuni di questi trojan bancari.