A Guarda Civil da Espanha prendeu 16 pessoas aparentemente ligadas a uma organização criminosa por trás de dois trojans bancários: Mekotio e Grandoreiro. Essas duas famílias de malware foram recentemente analisadas pelos pesquisadores da ESET como parte da série sobre trojans bancários na América Latina, que inclui outras famílias de trojans com muitos pontos em comum.

As prisões ocorreram em diferentes cidades da Espanha no âmbito de uma operação chamada ÁGUAS VIVAS (Aguasvivas). De acordo com as forças de segurança, os agentes conseguiram impedir as tentativas de transferências bancárias no valor de € 3,5 milhões e esclareceram 20 casos de fraudes que ocasionaram o roubar de € 276.470 das vítimas.

Foram apreendidos documentos, dispositivos móveis e equipamentos digitais. Segundo a Guarda Civil, a organização criminosa possui uma grande estrutura dividida em quatro níveis. “Por um lado, estavam aqueles que se dedicavam a receber os valores das transferências falsas (Nível 1), que posteriormente transferiam para outros membros da organização (Nível 2). Por outro lado, também estavam aqueles que transferiam o dinheiro para outras contas localizadas no exterior (Nível 3) e, por último, aqueles que que eram responsáveis por mascarar as operações on-line das contas (Nível 4)”, explica a entidade espanhola.

A forma de distribuição de ambos os malwares ocorre por meio de e-mails de phishing que parecem legítimos e se fazem passar por empresas ou agências governamentais. As mensagens incluem um link malicioso para baixar o malware ou um anexo com a mesma finalidade. Por exemplo, no caso da Espanha, os e-mails se faziam passar por comunicações do Ministério do Interior, da Agência Tributária e da Direção Geral de Trânsito (DGT), ou usando mensagens como "recibo de transferência bancária" no assunto.

E-mail de phishing usado para distribuir o Mekotio na Espanha. Fonte: ESET Espanha.

Como destacamos, Mekotio e Grandoreiro são trojans bancários que estão em operação desde pelo menos 2015 e 2017, respectivamente, visando principalmente os países da América Latina. No entanto, em 2020, países europeus como Espanha e Portugal começaram a expandir a área geográfica do malware.

No caso do Mekotio, embora o maior número de vítimas tenha sido registrado no Brasil, analisamos as campanhas direcionadas principalmente ao Chile e também detectamos atividades do malware no México, Colômbia, Argentina, Peru e Equador.

Quanto ao Grandoreiro, as vítimas costumam ser bem semelhantes, sendo o Brasil,  México e Peru as áreas preferidas para a distribuição desse trojan, que chegou recentemente a países europeus como a Espanha.

Como enfatizamos anteriormente, Mekotio e Grandoreiro são duas famílias de trojans bancários escritos em Delphi que contam com muitas características em comum com outros trojans que definimos como trojans bancários latino-americanos, como Amavaldo, Casbaneiro, Mispadu, Guildma, Vadokrist e Ousaban, entre outros. De acordo com os pesquisadores da ESET, todas essas famílias de trojans bancários apresentam indicadores que demonstram a cooperação entre os seus criadores.