Brazílska polícia zatkla hackerov v pozadí obávaného bankového trojana Grandoreiro.
ESET spolupracoval s brazílskou federálnou políciou pri medzinárodnej operácii namierenej proti botnetu Grandoreiro. Firma prispela k operácii poskytnutím technickej analýzy, štatistických informácií a známych názvov domén riadiacich (C&C) serverov a IP adries. Operácia bola zameraná na osoby, o ktorých sa predpokladá, že sú v hierarchii botnetu vysoko postavené. Ďalšie vyšetrovanie, ktoré vykonala brazílska federálna polícia, viedlo k identifikácii a zatknutiu osôb ovládajúcich botnet. Grandoreiro je aktívny minimálne od roku 2017, zameriava sa na Brazíliu, Mexiko, Španielsko a Argentínu. Španielska polícia uviedla, že v priebehu dvoch rokov zadržala 133 osôb napojených na botnet. Operácia španielskej polície je priamo spojená s brazílskou.
Grandoreiro dokáže blokovať obrazovku obete, zaznamenávať stlačenia klávesnice, simulovať činnosť myši a klávesnice, zdieľať obrazovku obete a zobrazovať falošné vyskakovacie okná. Grandoreiro je jedným z mnohých latinskoamerických bankových trojanov. Aktívny je minimálne od roku 2017 a výskumníci spoločnosti ho odvtedy pozorne sledujú. Z funkčného hľadiska sa od poslednej analýzy z roku 2020 veľmi nezmenil. Napriek tomu však prechádza rýchlym a neustálym vývojom. Výskumníci zaznamenali aj niekoľko nových vylepšení na týždennej báze. Napríklad v období od februára 2022 do júna 2022 priniesli kyberzločinci novú verziu škodlivého kódu v priemere každé štyri dni.
Útočník musí aj naďalej manuálne komunikovať s infikovaným zariadením, aby mohol ukradnúť peniaze obete. Škodlivý softvér má nasledovné schopnosti: blokovanie obrazoviek obetí, zaznamenávanie stlačení klávesnice, simulovanie činnosti myši a klávesnice, zdieľanie obrazovky (obrazoviek) obetí, zobrazovanie falošných vyskakovacích okien. Implementácia sieťového protokolu Grandoreiro umožnila výskumníkom nahliadnuť za oponu a získať prehľad o viktimológii. Riadiace servery botnetu prezrádzajú informácie o pripojených obetiach v čase prvej požiadavky, ktorá bola zaslaná každej novo pripojenej obeti. Španielska polícia odhaduje, že len v ich krajine prišli obete o viac ako 5 miliónov eur. Podľa španielskej Caixa Bank dosahujú škody spôsobené latinskoamerickými bankovými trójskymi koňmi 110 miliónov eur.
Skúmaním týchto údajov za viac ako rok výskumníci zistili, že 66% obetí tvorili používatelia operačného systému Windows 10, 13% používalo systém Windows 7, 12% používalo Windows 8 a 9% tvorili používatelia systému Windows 11. Telemetria sa pozrela aj na geografické rozloženie obetí: Španielsko predstavuje 65% všetkých obetí, nasleduje Mexiko so 14%, Brazília so 7% a Argentína s 5%. Zvyšných 9% obetí sa nachádza v ostatných krajinách Latinskej Ameriky. Zároveň v roku 2023 zaznamenali výrazný pokles aktivity v Španielsku, ktorý bol kompenzovaný zvýšeným počtom kampaní v Mexiku a Argentíne.
