Entre las amenazas más destacadas analizadas durante 2020 y lo que llevamos de 2021 que han afectado a usuarios españoles, las campañas protagonizadas por los troyanos bancarios con origen en América Latina han sido una de las más activas. Durante meses, ESET, compañía pionera en protección antivirus y experta en ciberseguridad, ha ido analizando numerosos casos detectados en España, explicando las técnicas usadas por los delincuentes y los cambios que han ido realizando para seguir consiguiendo nuevas víctimas. La compañía informa de una operación policial que ha logrado detener a parte de la infraestructura de los grupos criminales detrás de estas amenazas.
Operación Aguas Vivas
Hace unos días, tanto desde el Ministerio del Interior como desde la propia Guardia Civil informaban de la detención de 16 personas en varios puntos de la geografía española relacionadas con las bandas responsables de los troyanos bancarios Mekotio y Grandoreiro. Según el comunicado, la operación también permitió bloquear la transferencia de 3,5 millones de euros tras analizar más de 1.800 correos electrónicos.
La Guardia Civil informó además del esclarecimiento de 20 delitos de estafa que estaban siendo investigados, por un importe total de 276.470 euros, de los que se han recuperado 87.000 euros. Además, los investigadores detectaron una actividad sospechosa en al menos 68 cuentas de correo electrónico pertenecientes a organismos oficiales, cuyos sistemas ya estaban infectados con variantes de los troyanos «Mekotio» y «Grandoreiro”.
Todo apunta a que las 16 personas detenidas en varios puntos de España serían las encargadas de recoger el dinero sustraído de las cuentas bancarias de las víctimas y enviarlo a los grupos de delincuentes responsables de desarrollar estas amenazas. Recordemos que estos troyanos bancarios están preparados para robar credenciales de acceso a un elevado número de entidades bancarias, tras lo cual proceden a realizar transferencias desde las cuentas de las víctimas hasta otras cuentas controladas por muleros, o incluso realizar transferencias por BIZUM o sacar dinero en metálico desde cajeros.
Phishing, Vishing y Smishing
Se tratan de tres ataques basados en ingeniería social muy similares en su ejecución. De forma general, el ciberdelincuente enviará un mensaje suplantando a una entidad legítima, como puede ser un banco, una red social, un servicio técnico o una entidad pública, con la que nos sintamos confiados, para lograr su objetivo. Estos mensajes suelen ser de carácter urgente o atractivo, para evitar que aplique el sentido común y se lo piensen dos veces.
- Phishing: Suele emplearse el correo electrónico, redes sociales o aplicaciones de mensajería instantánea.
- Vishing: Se lleva a cabo mediante llamadas de teléfono.
- Smishing: El canal utilizado son los SMS.
En ocasiones, traen consigo un enlace a una web fraudulenta, que ha podido ser suplantada, fingiendo ser un enlace legítimo, o bien se trata de un archivo adjunto malicioso para infectarnos con malware.
Su objetivo es obtener datos personales y/o bancarios de los usuarios, haciéndonos creer que los estamos compartiendo con alguien de confianza. También pueden utilizar esta técnica para que descarguemos malware con el que infectar y/o tomar el control del dispositivo.
Recomendaciones
El principal consejo es ser precavido y leer el mensaje detenidamente, especialmente si se trata de entidades con peticiones urgentes, promociones o chollos demasiado atractivos.
Además, otras pautas que podemos seguir para evitar ser víctima de este tipo de engaños, pueden ser:
- Detectar errores gramaticales en el mensaje. Y, si se trata de un asunto urgente o acerca de una promoción muy atractiva, es muy probable que se trate de un fraude.
- Revisar que el enlace coincide con la dirección a la que apunta. Y, en cualquier caso, debemos ingresar la url nosotros directamente en el navegador, sin copiar y pegar.
- Comprobar el remitente del mensaje, o asegurarnos de que se trata de un teléfono legítimo.
- No descargar ningún archivo adjunto y analizarlo previamente con el antivirus.
- En caso de vishing, no debemos descargar ningún archivo que nos haya solicitado el atacante, ni ceder el control de nuestro equipo por medio de algún software de control remoto.
- No contestar nunca al mensaje y eliminarlo.
Métodos de propagación
Desde ESET España se ha documentado la evolución de estas familias de troyanos con un importante número de artículos sobre ellas desde inicios de 2020. El importante impacto que han tenido estas amenazas en España también se ha visto reflejado en otros países del continente, y los delincuentes han ido realizando cambios conforme pasaban los meses.
Una de las características más particulares de estas familias de troyanos tiene relación con su método de propagación. Los delincuentes han estado usando numerosas plantillas de correos electrónicos para tratar de convencer a los usuarios que los recibían. Así pues, hemos visto como los delincuentes han suplantado a organismos oficiales como el Ministerio de Trabajo, la Agencia Tributaria, el Ministerio de Sanidad o la propia Guardia Civil.
Además, también se han suplantado empresas como Correos, Vodafone, Mercadona, Telefónica o Endesa durante el pasado año y medio. Sin embargo, en los últimos meses se ha observado como los delincuentes han preferido enviar estos correos con asuntos genéricos mencionando supuestas facturas pendientes de pago, facturas electrónicas, recibos de servicios tributarios, bloqueos judiciales, comprobantes de transferencia bancaria y correos con un burofax online.
Por si fuera poco, los delincuentes responsables de estas amenazas han utilizado en alguna ocasión métodos menos habituales para propagarse como, por ejemplo, la descarga desde webs pornográficas o la utilización de un falso vídeo que se compartía usando Facebook Messenger.
Expansión de los troyanos bancarios latinoamericanos
A pesar de que estas y otras familias de troyanos bancarios eran ya conocidas hace tiempo por los investigadores de ESET y en especial por el equipo de ESET Latinoamérica, fue en 2020 cuando los delincuentes responsables de su desarrollo y propagación decidieron dar el salto y comenzaron a afectar a países europeos, siendo España su principal objetivo.
Esta expansión fuera de su zona habitual de actuación fue acompañada de un incremento en la sofisticación de ambas familias de malware, si bien es cierto que Grandoreiro es un malware que lleva desarrollándose desde 2016, mientras que Mekotio empezó su actividad el pasado 2020. Su expansión por el territorio europeo despertó el interés de investigadores y fuerzas policiales, lo que ha permitido la operación realizada por la Guardia Civil.
Esta operación policial demuestra la importancia que han cobrado estas familias de troyanos dentro del mundo del cibercrimen, provocando pérdidas entre las víctimas infectadas que se pueden cuantificar en el orden de millones de euros y demostrando que la campaña europea ha resultado especialmente provechosa para los delincuentes.
Según Josep Albors, director de investigación y concienciación en ESET España: “La detención de delincuentes relacionados con amenazas que han estado afectando de forma importante a usuarios de nuestro país siempre son buenas noticias. Sin embargo, no debemos olvidar que los grupos responsables de desarrollar estos troyanos se ubican a miles de kilómetros de distancia y hasta que no se realicen operaciones policiales en sus lugares de residencia no podremos estar tranquilos, por lo que debemos seguir protegiéndonos con soluciones de seguridad que han demostrado ser eficaces para detectar y bloquear estas amenazas”.
Descubre más desde Revista Ciberseguridad
Suscríbete y recibe las últimas entradas en tu correo electrónico.
16 personas arrestadas en España por su relación con los troyanos bancarios Mekotio y Grandoreiro https://t.co/PGCQsxDjCn
RT @ciberseguridadl: 16 personas arrestadas en España por su relación con los troyanos bancarios Mekotio y Grandoreiro https://t.co/PGCQsxD…