Grandoreiro: trojan bancário afeta várias entidades em todo o mundo

O trojan Grandoreiro continua a ser utilizado pelos seus parceiros em novas campanhas, afetando instituições bancárias em todo o mundo, inclusive em Portugal.

A equipa de Pesquisa e Análise Global da Kaspersky (GReAT, na sigla original) descobriu uma nova versão, mais leve, focada no México e que visa cerca de 30 bancos.

Nesse sentido, o Grandoreiro continua a ser uma das ameaças mais ativas a nível mundial “e representa cerca de 5% dos ataques de trojans bancários este ano”, revela a Kaspersky.

Depois de ajudar uma ação coordenada pela INTERPOL, que levou as autoridades brasileiras a prenderem os agentes responsáveis por uma operação do trojan bancário Grandoreiro, a Kaspersky descobriu que a base de código do grupo foi dividida em versões mais leves e fragmentadas, para dar continuidade aos seus ataques.

Análises recentes identificaram uma versão leve específica, com um foco principal no México, que foi utilizada para atacar cerca de 30 instituições financeiras.

“É provável que os seus criadores tenham acesso ao código-fonte e estejam a lançar novas campanhas, utilizando uma versão simplificada do malware antigo”, acreditam os especialistas da Kaspersky.

“Os desenvolvimentos mais recentes evidenciam a natureza evolutiva da ameaça. As versões fragmentadas e mais leves podem representar uma tendência que se pode estender para outras regiões além do México, incluindo para além da América Latina. No entanto, acreditamos que apenas alguns afiliados de confiança têm acesso ao código-fonte do malware para desenvolver estas versões”, explica Fabio Assolini, diretor da América Latina (GReAT) da Kaspersky.

A Kaspersky também analisou as amostras mais recentes do Grandoreiro primário de 2024 e observou novas táticas.

Regista a atividade do cursor como forma de imitar padrões reais do utilizador, com o objetivo de evitar a deteção por sistemas de segurança baseados na aprendizagem automática que analisam o comportamento.

Ao reproduzir os movimentos naturais do touchpad, o malware pretende enganar as ferramentas antifraude para que estas considerem a atividade como legítima.

Além disso, o Grandoreiro adotou uma técnica de encriptação conhecida como Ciphertext Stealing (CTS), que a Kaspersky nunca viu ser utilizada em malware.

Neste caso, o objetivo passa por encriptar as cadeias de código malicioso: “O Grandoreiro tem uma estrutura grande e complexa, o que tornaria mais fácil a sua deteção, por ferramentas de segurança ou analistas, se as suas sequências não estivessem encriptadas.”

Assim sendo, “é provável que esta nova técnica tenha sido introduzida por esta razão, para complicar a deteção e a análise dos seus ataques”, explica Fabio Assolini.

Os dados da Kaspersky indicam que o Grandoreiro está ativo desde 2016.

Em 2024, a ameaça tem como alvo mais de 1700 instituições financeiras e 276 carteiras de criptomoedas em 45 países e territórios, acrescentando finalmente a Ásia e África à lista dos seus alvos, o que a torna uma ameaça financeira verdadeiramente global.

Portugal é um dos países afetados por esta ciberameaça.