Apenas dois meses depois de anunciar a atuação do Tetrade na Europa e América Latina, confirmamos a 5ª família de trojans bancários brasileiros atuando fora do País – a Amavaldo. Desta forma, a internacionalização das campanhas maliciosas brasileiras passa a se chamar Pentaedro. Outra evolução ocorreu no trojan Guildma, campanha mais ativa e que mantém seu foco no Brasil, mas, agora, ataca também os smartphones Android visando fraudes no mobile banking.
O Tetrade era formado por quatro famílias de trojans bancários (Guildma, Javali, Grandoreiro e Melcoz) que atacam tanto no Brasil quanto em países como Portugal, Espanha, Chile e México. Nos últimos dois meses, identificamos aumento no volume de ataques usando esses malware. Para se ter uma ideia, apenas uma conta de e-mail usada para colher amostras recebeu, em uma semana, 1,8 milhão de mensagens maliciosas que levavam à infecção por uma das famílias do Tetrade.
No caso do Guildma, descobrimos ainda uma nova versão multiplataforma do trojan bancário, que além de se instalar em dispositivos Windows, infecta smartphones Android. Esta modificação do malware é distribuída por e-mails de phishing disfarçados como notificações ou comunicados legítimos de empresas, e sua atuação, por ora, está focada no Brasil. “Mas é inevitável que vá se expandir para outros países em breve”, afirma Fabio Assolini, analista sênior de segurança da Kaspersky no Brasil.
“Acreditamos que esta fase por aqui sirva para o amadurecimento da campanha antes que possa ser ‘exportada’. Uma vez no dispositivo Windows ou Android, o criminoso pode acessar o dispositivo remotamente para realizar fraudes no internet/mobile banking, ou capturar credenciais de forma silenciosa (apenas no Windows). O mais curioso é que o usuário não consegue remover o trojan tentando deletar o app malicioso no celular, apenas uma solução de segurança consegue. Esperamos que isso finalmente faça com que as pessoas acreditem que smartphone também precisa de proteção como os PCs”, afirma Assolini.
Exportação para o México
A principal atualização na exportação do malware brasileiro foi a confirmação da 5ª família de trojans bancários atuando fora do País. Assim com as demais campanhas, o Amavaldo começou a operar no Brasil em 2015, mas só recentemente se expandiu para o México. “Interessante ver como esta campanha se desenvolveu. Verificamos mais de três mil ataques deste trojan no México em nosso sistema de proteção em nuvem (Kaspersky Security Network) e já vemos este malware mais ativo fora do País do que no Brasil”, relata Assolini.
“O Brasil sempre figurou entre os principais desenvolvedores de trojans bancários. De acordo com nossas detecções, é o segundo colocado no ranking dos países mais atacados por este tipo de ameaça. O sistema bancário brasileiro está acostumado com as fraudes nacionais, mas nem todos os bancos na América Latina e Europa contam com as mesmas tecnologias de proteção, o que os torna vulneráveis a estes ataques. Por isso, é muito importante que as equipes de segurança tenham acesso aos mais recentes relatórios de inteligência de ameaças”, aconselha o analista.