WhatsApp es la aplicación de mensajería más utilizado del mundo. A su posición dominante hay que sumarle que desde el inicio de la pandemia de Covid su crecimiento aumentó considerablemente y eso no pasó desapercibido por los hackers. Es por eso que la app en último tiempo se convirtió en el blanco favorito de estos ciberdelincuentes.

Según informó la empresa de ciberseguridad ESET, está circulando un correo electrónico que se hace pasar por una comunicación oficial de  WhatsApp que invita a descargar una copia de seguridad de las conversaciones y el historial de llamadas en la aplicación de mensajería.

Pero en realidad se trata de un mail "facke", cuyo objetivo es distribuir el troyano bancario Grandoreiro, que roba credenciales bancarias mediante ventanas emergentes falsas que hacen creer a la víctima que se trata del sitio oficial del banco; entre otras funcionalidades. 

¿Cómo funciona la estafa?

El mensaje incluye un archivo adjunto nombrado "Open_Document_513069.html". Se trata de un archivo HTML que contiene una URL acortada mediante el servicio bitly. De acuerdo al análisis realizado en el laboratorio de ESET Latinoamérica del HTML adjunto, al hacer clic redirecciona a un sitio desde el cual se descarga un archivo .zip.

Ese archivo comprimido contiene un instalador MSI  que descarga la amenaza, el troyano bancario Grandoreiro. Si el usuario ejecuta el archivo descargado, probablemente el equipo sea infectado con el malware.

Una vez que infectó el equipo de la víctima, el objetivo principal de este virus es robar credenciales bancarias mediante ventanas emergentes falsas que hacen creer a la víctima que se trata del sitio oficial del banco. 

Además, al igual que los otros troyanos bancarios latinoamericanos, cuenta con funcionalidades de backdoor que le permiten al atacante realizar otras acciones maliciosas en el equipo comprometido, como registras las pulsaciones de teclado (keylogging), simular acciones de mouse y teclado, cerrar sesión de la víctima, bloquear el acceso a ciertos sitios o incluso reiniciar el equipo.

Según explicó Juan Manuel Harán, parte del equipo de comunicación de ESET, se trata de un troyano bancario escrito en Delphi que comparte muchas características con otras familias de troyanos muy activas en América Latina.

No obstante, algunos se expandieron más allá de la región y comenzaron a dirigir sus campañas a usuarios de España y de otros países de Europa. Por ejemplo, en 2020, Grandoreiro tuvo presencia principalmente en países como Brasil, España, México y Perú.