¿En qué pensamos cuando hablamos de desarrolladores? Usualmente nos viene a la cabeza la noción tradicional de programador: alguien que escribe y crea software o interfaces en las que un usuario puede interactuar con su equipo de TI. Sin embargo, usualmente, olvidamos a aquellos que se dedican a implementar malware de forma continua pues, pese a lo ilícito de las operaciones, resultan sumamente redituables en tanto no sean atrapados. Desde hace algunos años Brasil se ha vuelto un nido de cibercriminales desarrolladores que han creado familias de troyanos con un enfoque muy particular: atacar operaciones bancarias. De acuerdo a Kaspersky, los troyanos brasileños surgieron en el 2011, de forma tímida y poco eficiente; sin embargo, a la vuelta de la década, sus programas maliciosos han evolucionado sobremanera, generando programas altamente modulares y complejos que usan flujos de ejecución muy rebuscados, lo que los hace difíciles de detectar y, sobre todo, de erradicar. Dentro de esta categorización infame de piratas latinoamericanos ha sobresalido un grupo conocido como Tétrade, compuesto por cuatro familias de malware: Guildma, Javali, Melcoz y Grandoreiro. Estos malware comenzaron ejecutando ataques de forma muy local, enfocándose en usuarios bancarios en las zonas urbanas de Brasil; sin embargo a medidados del 2020 se registraron ataques de estas familias en otras zonas de América Latina y Europa, compitiendo directamente con códigos maliciosos de Europa del Este y planteando un verdadero desafío para la seguridad de las TI financieras y sus usuarios.
El juego móvil
En una campaña de análisis en Windows por parte de Kaspersky para detectar actividad maliciosa de Guildma, una de las familias de Tétrade, la firma de Ciberseguridad encontró indicios de comportamientos sospechosos distintos a los que esperaban: un intercambio de archivos.ZIP hacia URLs comprometidas y la presencia del instalador para un software denominado Ghimob: un troyano parte de la familia de Guildma ejecutable en Android, el sistema operativo móvil más usado en el mundo.
La técnica de instalación de este malware es sencilla: usualmente inicia con un ataque de phishing, donde al usuario le llega un correo electrónico, aparentemente legítimo, donde se le informa que tiene un adeudo con su organización financiera, lo que lo lleva a seguir un vínculo para poder resolver la situación; sin embargo, al abrirlo, se descarga de forma invisible un instalador que contiene al troyano y que se ejecuta como un espía. Ghimob es un tipo de malware denominado TAR (Troyano de acceso remoto, RAT, por sus siglas en inglés), el cual permite a los desarrolladores acceder al dispositivo en el cual se encuentra instalado sin el conocimiento ni la autorización del usuario. Una vez dentro del móvil, Ghimob envía un mensaje a su servidor el cual incluye el modelo de teléfono, las medidas de seguridad (bloqueo de pantalla, etc) y una lista con todas las aplicaciones instaladas que pueden ser accedidas por el troyano. De acuerdo al reporte, Ghimob tiene la capacidad de espiar hasta 153 aplicaciones, fundamentalmente bancarias y de transacciones monetarias.
Control, remoto
La peculiaridad de Ghimob es que, una vez instalado en el dispositivo Android, funge como una aplicación de control y comando, la cual puede ejecutar aplicaciones en el fondo, dándole al usuario la apariencia de funcionamiento normal en su teléfono. Ghimob es un espía de bolsillo: los desarrolladores del malware tienen la capacidad de cometer fraudes desde el smartphone mismo, logrando superar los controles de seguridad tanto del sistema operativo como de las aplicaciones. Este troyano, por ejemplo, puede grabar y reproducir el patrón de desbloqueo del teléfono sin mostrar actividad evidente en la pantalla, es decir, puede colocar una pantalla negra para que el usuario no detecte actividad. Así mismo, graba y ejecuta información clave que el usuario haya introducido a través del teclado, enviando reportes frecuentes a sus desarrolladores sobre el estado del teléfono.
De acuerdo a las estadísticas, los mayores reportes de este malware vienen de Brasil, sin bien ya ha habido detecciones masivas en Paraguay, Perú, Portugal, Alemania, Angola y Mozabique, con algunos casos aislados en España. Si bien, esta infección está documentada y puede ser detectada por software antimalware, el ataque sigue activo y, de acuerdo a los pronósticos para los siguientes meses, las infecciones por Ghimob, así como del resto de troyanos de Tétrade, seguirán creciendo y apareciendo en distintas partes del mundo.