Brazília je horúcou pôdou pre trójske kone zamerané na mobilné bankovníctvo – čiže malvér, ktorý kradne prístupové údaje pre elektronické platby ako aj systémy on-line bankovníctva, aby sa mohli kyberzločinci dostať k finančným prostriedkom uloženým na účtoch obetí. Štyri pokročilé bankové rodiny malvéru Guildma, Javali, Melcoz a Grandoreiro sa zamerali na používateľov z Európy, Severnej Ameriky aj Latinskej Ameriky. Pod názvom Tetrade predstavujú najnovšiu inováciu v oblasti bankového malvéru, pričom využívajú viaceré nové techniky ako sa vyhnúť detekcii.
Guildma je jednou z malvérových rodín, ktorá je aktívna od roku 2015. Šíri sa najmä prostredníctvom phishingových emailov, ktoré sú maskované ako legitímna firemná komunikácia či notifikácie. Od svojho odhalenia sa malvéru Guildma podarilo osvojiť si niekoľko nových únikových techník, takže je náročné ho odhaliť. Začiatkom roka 2019 sa tomuto malvéru podarilo skryť svoj škodlivý program do systému obete s využitím špeciálneho formátu súboru. Navyše, tento malvér ukladá svoju komunikáciu s kontrolným serverom v zašifrovanej podobe na stránkach Facebooku a YouTubu. To vedie k tomu, že odhalenie tohto škodlivého komunikačného toku je veľmi náročné. A keďže žiaden antivírusový program tieto stránky neblokuje, tak sa mu darí nerušene realizovať príkazy z kontrolného servera. V roku 2015 bol malvér Guildma aktívny exkluzívne len v Brazílii. Teraz svoju pôsobnosť rozšíril aj na Južnú Ameriku, Spojené štáty americké, Portugalsko a Španielsko.
Aktivity ďalšieho lokálneho bankového trojana známeho pod názvom Javali (aktívny je od roku 2017) boli zachytené aj mimo Brazílie. Zameral sa najmä na klientov bánk v Mexiku. Podobne ako Guildma sa aj tento malvér šíri cez phishingové emaily a využíva YouTube pre svoju komunikáciu s riadiacim a kontrolným serverom.
Melcoz je treťou rodinou aktívnou od roku 2018. Tá medzičasom rozšírila svoje aktivity aj do zámoria, najmä do Mexika a Španielska.
Štvrtou v poradí je malvérová rodina Grandoreiro, ktorá začala sústrediť svoje aktivity na používateľov v Latinskej Amerike pred svojou expanziou do Európy. Zo spomínaných rodín je najrozšírenejšou. Je aktívna od roku 2016 a podniká na základe modelu „malvér ako služba“, čiže rôzni kyberzločinci si môžu zakúpiť prístup k potrebným nástrojom na spustenie útoku. Táto rodina využíva na distribúciu kompromitované webstránky, ale aj tzv. spear phishing (typ phishingu zameraný na úzku skupinu potenciálnych obetí). Tak ako v prípade malvérov Guildma a Javali, aj Grandoreiro skrýva svoju komunikáciu s riadiacim a kontrolným serverom na legitímnych weboch tretích strán.
Experti Kaspersky finančným inštitúciám odporúčajú:
· Poskytnúť svojim SOC tímom (Security Operations Centre – centrum, ktoré zabezpečuje monitorovanie a identifikáciu hrozieb) prístup k najnovším poznatkom v oblasti hrozieb, aby mali k dispozícii aktuálne informácie o nových ako aj vznikajúcich nástrojoch, technikách a taktikách, ktoré útočníci a kyberzločinci najnovšie využívajú.
· Vzdelávať svojich klientov v tom, aké triky využívajú kyberkriminálnici na oklamanie svojej obete. Pravidelne ich informovať o tom, ako sami dokážu identifikovať podvod a ako sa v takej situácii zachovať.
· Implementovať riešenie, ktoré je schopné takéto sofistikované podvody odhaliť.
