Los troyanos bancarios siguen haciendo de las suyas, aunque van evolucionando con el tiempo. Uno de los más recientes que se ha detectado es Numando, con el foco principal puesto en Brasil y en menor medida, en México y España.
La compañía de seguridad informática ESET ha dado algunas claves sobre Numando para facilitar su comprensión y conocimiento por parte de los usuarios. Según comentan, ha estado activo por lo menos desde el año 2018.
Este troyano muestra similitudes con otras familias de malware, ya que utiliza ventanas de navegador superpuestas fraudulentas, puerta trasera y servicios públicos, como YouTube, para almacenar su configuración remota. No obstante, la principal diferencia es que no muestra signos de desarrollo continuo.
Según aclaran, sus capacidades de puerta trasera le permitirían imitar las acciones del ratón y del teclado, reiniciar y apagar el ordenador, mostrar ventanas superpuestas, tomar capturas de pantalla y eliminar los procesos del navegador.
Numando se distribuye en mayor medida mediante spam. Igual que otros troyanos bancarios de origen latinoamericano, se aprovecha de ciertos servicios online, como YouTube o Pastebin, para guardar su configuración remota. ESET ha alertado a Google y la compañía de Mountain View ya habría eliminado los vídeos involucrados.
Lo que tiene de nuevo
Numando se sirve de algunas técnicas nuevas. Obtiene archivos ZIP que aparentemente son inútiles o agrupa cargas útiles maliciosas con imágenes BMP sospechosamente grandes para funcionar como señuelo. Los BMP son imágenes válidas que pueden abrirse en la mayoría de los visualizadores y editores de imágenes sin problemas.
“Aunque Numando no esté tan activo como otros troyanos como Mekotio o Grandoreiro, el malware ha sido utilizado constantemente desde que empezamos a rastrearlo, aportando nuevas e interesantes técnicas al conjunto de trucos de los troyanos bancarios latinoamericanos”, explica en un comunicado de prensa Jakub Souček, coordinador del equipo de ESET que ha analizado Numando.