ESET Research alerta del troyano bancario de origen latinamericano Numando, muy activo en Brasil y que ha llegado a México y España. Numando es similar a las otras familias de malware en su uso de ventanas de navegador superpuestas fraudulentas, funcionalidad de puerta trasera y utilización de servicios públicos como YouTube para almacenar su configuración remota. Sin embargo, a diferencia de la mayoría de los otros troyanos bancarios latinoamericanos, Numando no muestra signos de desarrollo continuo.

El actor de la amenaza detrás de esta familia de malware ha estado activo desde 2018 por lo menos. “Aunque Numando no esté tan activo como otros troyanos como Mekotio o Grandoreiro, el malware ha sido utilizado constantemente desde que empezamos a rastrearlo, aportando nuevas e interesantes técnicas al conjunto de trucos de los troyanos bancarios latinoamericanos”, avisa Jakub Souček, coordinador del equipo de ESET que ha analizado Numando.

Las capacidades de puerta trasera de Numando le permiten simular las acciones del ratón y del teclado, reiniciar y apagar el ordenador, mostrar ventanas superpuestas, tomar capturas de pantalla y eliminar los procesos del navegador. Además, utiliza falsas ventanas superpuestas para atraer información sensible de sus víctimas.

Entre las nuevas técnicas, Numando utiliza archivos ZIP aparentemente inútiles o agrupa cargas útiles maliciosas con imágenes BMP sospechosamente grandes usadas como señuelo. Estos archivos BMP son imágenes válidas que pueden abrirse en la mayoría de los visualizadores y editores de imágenes sin problemas. Numando se distribuye casi exclusivamente por spam.

Como muchos otros troyanos bancarios latinoamericanos, Numando utiliza algunos servicios online para almacenar su configuración remota, en este caso YouTube y Pastebin. Google retiró los vídeos de YouTube rápidamente tras recibir la notificación de ESET.