Guildma, un grupo de amenazas con sede en Brasil que recientemente ha estado expandiendo sus operaciones en todo el mundo ha implementado un nuevo troyano bancario que se dirige activamente a los usuarios de Android en varios países de América Latina y Europa y, que pronto también podría afectar a los usuarios de EE. UU.

Los investigadores de Kaspersky descubrieron recientemente el llamado troyano de acceso remoto “Ghimob” (RAT). En un informe, el proveedor de seguridad describió que el malware llegaba a los dispositivos móviles a través del correo electrónico en una estafa que simula ser algún tipo de deuda.

Ciberdelito Brasileño

El ciberdelito clandestino brasileño es reconocido como el que más se centra en el desarrollo y comercialización de troyanos bancarios. Es en ese contexto, que los investigadores de Kaspersky Lab han efectuado seguimientos a cuatro familias diferentes de troyanos bancarios brasileños que se han dirigido a instituciones financieras en Brasil, América Latina y Europa. Las cuatro familias de malware se llaman Guildma, Javali, Melcoz y Grandoreiro. Los expertos creen que son el resultado de una operación de grupos bancarios brasileños que están desarrollando sus capacidades dirigidas a usuarios bancarios en el extranjero.

Guildma

Guildma, un malware complejo y sigiloso, es una combinación de RAT, spyware, ladrón de contraseñas y malware bancario. Sin embargo, sigue siendo principalmente un malware bancario. Guildma es un malware altamente modular y complejo que admite una amplia gama de funcionalidades, y actualmente está experimentando un rápido desarrollo. Los Ciberactores brasileños detrás de Guilma lo actualizan con frecuencia y los investigadores creen que existe desde el 2015 en Brasil y que ahora se están expandiendo al exterior. Guildma se distribuye mediante suplantación de identidad dirigida, y las víctimas se identifican por su nombre.

Kaspersky ha reunido evidencia que demuestra que los operadores de malware detrás de Guildma, han ampliado sus tácticas para infectar dispositivos móviles con software espía llamado  “Ghimob” (RAT).

Ghimob” (RAT)

Ghimob, un poderoso y peligroso troyano brasileño que ataca a dispositivos móviles Android a través de correos electrónicos que supuestamente trata de algún tipo de deuda. Este fue específicamente diseñado para atacar a aplicaciones financieras de bancos, empresas de tecnología financiera, intercambios y criptomonedas en Brasil, Paraguay, Perú, Portugal, Alemania, Angola y Mozambique. Ghimob, es el primer troyano bancario móvil brasileño listo para apuntar a instituciones financieras y a sus clientes en muchos otros países del mundo.

Los destinatarios que caen en la estafa y hacen clic en un enlace incrustado en el correo electrónico terminan descargando el RAT en sus dispositivos. Una vez instalado, Ghimob es capaz de realizar una variedad de acciones maliciosas que comienzan con el envío de un mensaje sobre una infección exitosa a un servidor controlado por un atacante.

Fabio Assolini, investigador de seguridad de Kaspersky, dice que: “Ghimob, una vez instalado, les da a los atacantes un control remoto completo del dispositivo. Pueden usarlo para tomar capturas de pantalla, usar el micrófono y grabar todo el texto escrito en campos en línea y en aplicaciones móviles”. Esto último toma gran relevancia a la hora de realizar los movimientos y ejecutar acciones fraudulentas, puesto que al realizarlas desde el propio dispositivo de la víctima la mayoría de los mecanismos antifraudes de los bancos y otras instituciones confían en el acceso y tienden a aceptar las acciones como legítimas.

Asimismo, Assolini agrega que: “El troyano puede espiar 153 aplicaciones móviles, evitar la desinstalación manual, instalar otras aplicaciones desde cualquier fuente y controlar las aplicaciones ya instaladas, por ejemplo, cerrar o abrir una aplicación o ponerla en segundo plano y capturar cualquier contraseña escrita o tocada en la pantalla”.

Panorama

Brasil siempre ha estado entre los principales desarrolladores de troyanos bancarios. Según nuestras detecciones, Brasil ocupa el segundo lugar en el ranking de países más atacados por este tipo de amenazas. Con la internacionalización, los troyanos brasileños pueden tomar la delantera y esto representa una amenaza real. El sistema bancario brasileño está acostumbrado a los ataques de fraude a nivel nacional, pero no todos los bancos de América Latina y Europa cuentan con las mismas tecnologías de protección, lo que los hace vulnerables a estos ataques.

Se recomienda lo siguiente:

• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Ingresa a los sitios oficiales de la institución a la que estás afiliado, realiza todos tus trámites desde allí, es más seguro que utilizar algún enlace en el correo, WhatsApp o SMS.
• No haga clic en ningún enlace ni descargue ningún archivo en un correo electrónico si no puede verificar la fuente de forma independiente. E incluso si el correo electrónico proviene de una fuente de confianza, verifique con ellos si realmente lo enviaron.
• No responda a correos electrónicos no solicitados de extraños y especialmente si le piden que proporcione algún tipo de información personal.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad si un correo electrónico o documento lo solicita.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.