Kaspersky a contribué à une action menée par INTERPOL, qui a conduit les autorités brésiliennes à arrêter cinq administrateurs à l'origine du trojan bancaire Grandoreiro. Selon les premières estimations, les opérateurs du trojan bancaire auraient escroqué plus de 3,5 millions d'euros à leurs victimes.
Grandoreiro est un cheval de Troie bancaire originaire du Brésil qui, selon les données de Kaspersky, est actif depuis au moins 2016. Les attaques utilisant Grandoreiro commencent souvent par un e-mail de spear-phishing rédigé en espagnol, en portugais ou en anglais. Une fois installé sur l’appareil de la victime, le cheval de Troie suit les saisies du clavier, simule l'activité de la souris, partage les écrans, collectant des données telles que les noms d'utilisateur, les informations du système d'exploitation, le temps d'exécution de l'appareil et, plus important encore, les identifiants bancaires. Par l’acquisition des comptes bancaires des victimes, les criminels vident leurs contenus et envoient les fonds par l'intermédiaire d'un réseau de passeurs de fonds pour blanchir des produits illicites.
Le cheval de Troie possède de nombreuses versions, ce qui pourrait indiquer que différents opérateurs sont impliqués dans le développement du logiciel malveillant, les experts de Kaspersky ayant vu Grandoreiro fonctionner comme un projet de logiciel malveillant en tant que service (Malware-as-a-Service - MaaS). Ce malware bancaire prolifique cible plus de 900 institutions financières dans plus de 40 pays d'Amérique du Nord, d'Amérique latine et d'Europe.
Dans le cadre de cette collaboration, Kaspersky et d'autres partenaires privés d'INTERPOL ont contribué à l'analyse d'échantillons de logiciels malveillants Grandoreiro, recueillis par des enquêtes nationales brésiliennes et espagnoles sur la cybercriminalité entre 2020 et 2022. En 2020-2022, les produits Kaspersky ont détecté 150 000 attaques utilisant le trojan bancaire Grandoreiro sur 40 000 utilisateurs dans le monde. Le Brésil, l'Espagne, le Mexique, le Portugal, l'Argentine et les États-Unis ont été les pays les plus touchés.
Suite à cela, des rapports d'analyse ont été produits en août 2023, qui ont identifié des chevauchements entre les échantillons, permettant aux enquêteurs de se rapprocher du groupe criminel organisé.
"Nous sommes témoins des campagnes de Grandoreiro depuis au moins 2016. Au fil du temps, les attaquants ont régulièrement amélioré leurs techniques, s'efforçant de rester indétectables et actifs plus longtemps. Dans ces circonstances, il est extrêmement important que les institutions financières restent vigilantes tout en améliorant leurs technologies de lutte contre la fraude et leurs données de renseignement sur les menaces. Une plus grande synergie entre les partenaires privés et publics est également essentielle pour lutter contre ces cybercrimes et garantir un environnement plus sûr pour les utilisateurs et les organisations du monde entier ", commente Fabio Assolini, responsable de l'équipe mondiale de recherche et d'analyse pour l'Amérique latine (GReAT) chez Kaspersky.
Soulignant l'importance d'une approche collective, M. Craig Jones, Directeur de l'unité de cybercriminalité d'INTERPOL, a déclaré : "Ce succès opérationnel souligne de façon éclatante l'importance de l'échange de renseignements par l'intermédiaire d'INTERPOL, et la raison pour laquelle nous sommes déterminés à servir de passerelle entre les secteurs public et privé. Il ouvre également la voie à la poursuite de la coopération dans la région".
Comme les familles de trojans, telles que Grandoreiro, se sont activement développées à l'étranger, les experts de Kaspersky s'attendent à une exploitation accrue des trojans bancaires mobiles. Selon les prévisions de l'entreprise concernant les logiciels criminels et les menaces financières en 2024, nous pourrions voir des trojans bancaires brésiliens tenter de combler le vide laissé par les trojans bancaires de bureau, la résurgence de ces trojans devenant l'une des tendances qui dominent le paysage des menaces financières cette année.