Kaspersky heeft geholpen bij een gecoördineerde actie van INTERPOL die ertoe leidde dat Braziliaanse autoriteiten vijf beheerders hebben gearresteerd die achter een Grandoreiro banking trojan operatie zaten. Volgens voorzichtige schattingen zouden de beheerders van de banking trojan slachtoffers voor meer dan 3,5 miljoen euro hebben opgelicht.
Volgens gegevens van Kaspersky is Grandoreiro van oorsprong een Braziliaanse banktrojan en minstens actief sinds 2016. Aanvallen met Grandoreiro beginnen vaak met een spear-phishing e-mail in het Spaans, Portugees of Engels. Eenmaal geïnstalleerd op een apparaat van het slachtoffer, volgt de trojan wat er op het toetsenbord wordt ingevoerd, simuleert het de muisactiviteit, deelt het schermen en verzamelt het gegevens, waaronder die van gebruikersnamen, informatie over het besturingssysteem, de runtime van het apparaat en, het belangrijkste, bankidentificatiegegevens. Met volledige controle over de bankrekeningen van het slachtoffer, halen criminelen deze leeg en sturen ze geld via een netwerk van geldezels om de illegale opbrengsten wit te wassen.
De trojan heeft vele versies. Dit wijst erop dat verschillende operators betrokken zijn bij de ontwikkeling van de malware. Kaspersky-experts zagen Grandoreiro opereren als een Malware-as-a-Service (MaaS) project. De wijdverspreide bankmalware richt zich op meer dan 900 financiële instellingen in meer dan 40 landen in Noord- en Latijns-Amerika en Europa.
Als onderdeel van de huidige gezamenlijke inspanning heeft Kaspersky samen met de andere private partners van INTERPOL bijgedragen aan de analyse van Grandoreiro malware samples. Deze onderzoeken waren door Braziliaanse en Spaanse nationale cybercrime verzameld tussen 2020 en 2022. In 2020-2022 detecteerden Kaspersky-producten 150.000 aanvallen met de Grandoreiro banking trojan op 40.000 gebruikers wereldwijd. Brazilië, Spanje, Mexico, Portugal, Argentinië en de VS bleken de meest getroffen landen te zijn. In Nederland zijn 17 malware aanvallen gedetecteerd.
Het resultaat was dat er in augustus 2023 analyserapporten waren opgesteld die overlappingen tussen de monsters hadden geïdentificeerd. Zo konden onderzoekers de georganiseerde misdaadgroep op het spoor komen.
"We zijn getuige geweest van Grandoreiro's campagnes sinds ten minste 2016. In de loop der tijd hebben de aanvallers hun technieken regelmatig verbeterd, waarbij ze ernaar streefden om onopgemerkt en actief te blijven gedurende langere perioden. In deze omstandigheden is het uitermate belangrijk dat financiële instellingen waakzaam blijven en tegelijkertijd hun antifraudetechnologieën en gegevens over bedreigingen verbeteren. Meer synergie tussen private en publieke partners is ook van cruciaal belang voor de bestrijding van dergelijke cybercriminaliteit en voor een veiligere omgeving voor gebruikers en organisaties wereldwijd," zegt Fabio Assolini, hoofd van het Latijns-Amerikaanse Global Research and Analysis Team (GReAT) bij Kaspersky.
Craig Jones, directeur van INTERPOL's Cybercrime Unit, benadrukt het belang van een collectieve aanpak: "Dit operationele succes onderstreept het belang van het delen van inlichtingen via INTERPOL, en waarom wij ons inzetten als brug tussen de publieke en private sector. Het vormt ook de basis voor verdere samenwerking in de regio."
Omdat trojanfamilies, zoals Grandoreiro, zich actief hebben uitgebreid naar het buitenland, verwachten Kaspersky-experts een toenemend gebruik van mobiele banktrojans. Volgens de voorspellingen van het bedrijf voor crimeware en financiële bedreigingen in 2024, zouden we Braziliaanse banking trojans kunnen zien die proberen de leegte op te vullen die is achtergelaten door desktop banking trojans, waarbij de opleving van deze trojans een van de dominerende trends wordt.