Beheerders van banking trojan Grandoreiro opgepakt in Brazilië

Volgens gegevens van Kaspersky is Grandoreiro van oorsprong een Braziliaanse banktrojan en minstens actief sinds 2016. Aanvallen met Grandoreiro beginnen vaak met een spear-phishing e-mail in het Spaans, Portugees of Engels. Eenmaal geïnstalleerd op een apparaat van het slachtoffer, volgt de trojan wat er op het toetsenbord wordt ingevoerd, simuleert het de muisactiviteit, deelt het schermen en verzamelt het gegevens, waaronder die van gebruikersnamen, informatie over het besturingssysteem, de runtime van het apparaat en, het belangrijkste, bankidentificatiegegevens. Met volledige controle over de bankrekeningen van het slachtoffer, halen criminelen deze leeg en sturen ze geld via een netwerk van geldezels om de illegale opbrengsten wit te wassen.

Diverse versies van trojan beschikbaar

De trojan heeft vele versies. Dit wijst erop dat verschillende operators betrokken zijn bij de ontwikkeling van de malware. Kaspersky-experts zagen Grandoreiro opereren als een Malware-as-a-Service (MaaS) project. De wijdverspreide bankmalware richt zich op meer dan 900 financiële instellingen in meer dan 40 landen in Noord- en Latijns-Amerika en Europa.

Als onderdeel van de huidige gezamenlijke inspanning heeft Kaspersky samen met de andere private partners van INTERPOL bijgedragen aan de analyse van Grandoreiro malware samples. Deze onderzoeken waren door Braziliaanse en Spaanse nationale cybercrime verzameld tussen 2020 en 2022. In 2020-2022 detecteerden Kaspersky-producten 150.000 aanvallen met de Grandoreiro banking trojan op 40.000 gebruikers wereldwijd. Brazilië, Spanje, Mexico, Portugal, Argentinië en de VS bleken de meest getroffen landen te zijn. In Nederland zijn 17 malware aanvallen gedetecteerd.

Het resultaat was dat er in augustus 2023 analyserapporten waren opgesteld die overlappingen tussen de monsters hadden geïdentificeerd. Zo konden onderzoekers de georganiseerde misdaadgroep op het spoor komen.

Zeker sinds 2016 actief

"We zijn getuige geweest van Grandoreiro's campagnes sinds ten minste 2016. In de loop der tijd hebben de aanvallers hun technieken regelmatig verbeterd, waarbij ze ernaar streefden om onopgemerkt en actief te blijven gedurende langere perioden. In deze omstandigheden is het uitermate belangrijk dat financiële instellingen waakzaam blijven en tegelijkertijd hun antifraudetechnologieën en gegevens over bedreigingen verbeteren. Meer synergie tussen private en publieke partners is ook van cruciaal belang voor de bestrijding van dergelijke cybercriminaliteit en voor een veiligere omgeving voor gebruikers en organisaties wereldwijd," zegt Fabio Assolini, hoofd van het Latijns-Amerikaanse Global Research and Analysis Team (GReAT) bij Kaspersky.

Craig Jones, directeur van INTERPOL's Cybercrime Unit, benadrukt het belang van een collectieve aanpak: "Dit operationele succes onderstreept het belang van het delen van inlichtingen via INTERPOL, en waarom wij ons inzetten als brug tussen de publieke en private sector. Het vormt ook de basis voor verdere samenwerking in de regio."

Stijging van mobiele banktrojans verwacht

Omdat trojanfamilies, zoals Grandoreiro, zich actief hebben uitgebreid naar het buitenland, verwachten Kaspersky-experts een toenemend gebruik van mobiele banktrojans. Volgens de voorspellingen van het bedrijf voor crimeware en financiële bedreigingen in 2024, zouden we Braziliaanse banking trojans kunnen zien die proberen de leegte op te vullen die is achtergelaten door desktop banking trojans, waarbij de opleving van deze trojans een van de dominerende trends wordt.