¡Alerta WhatsApp! Una nueva estafa te instala el troyano Grandoreiro haciéndote creer que es tu historial de conversaciones

Un nuevo peligro acecha a los usuarios de WhatsApp. La Oficina de Seguridad del Internauta, así como la Guardia Civil y la firma de seguridad ESET han alertado en los últimos días de una nueva estafa dirigida a los usuarios de WhatsApp en forma de correo que suplanta la identidad del servicio de mensajería. Este mail del tipo phishingtiene como objetivo que la víctima se descargue en su dispositivo el troyano bancario Grandoreiro.

El correo que recibe la víctima tiene como Asunto “Copia de seguridad WhatsApp*913071605 Nº (xxxxx)”. Ten en cuenta que en este tipo de estafas es habitual que circulen varios correos que pueden tener ligeras variaciones en el Asunto u otras pequeñas diferencias, pero siempre con el objetivo de incitar una acción por parte del usuario.

En este caso se invita al receptor a descargar una copia de seguridad de sus conversaciones de WhatsApp que, obviamente, no es tal. Lo que se descarga en su equipo es un archivo ZIP (comprimido) en cuyo interior se encuentra otro archivo, un instalador con la terminación .msi. Este es el que contiene el software malicioso. Cuando se intenta abrir dicho .msi es cuando el equipo queda infectado por este peligroso troyano bancario.

Grandoreiro, el troyano que te roba tus credenciales bancarias

Grandoreiro ya es conocido por los especialistas en delitos informáticos en España. En 2020 fue empleado en diversas campañas de phising enmascarado bajo comunicaciones fraudulentas de la Agencia Tributaria y también con motivo de la pandemia Covid-19.

Una vez instalado en el dispositivo, Grandoreiro tiene como objetivo robar las credenciales bancarias del usuario. Según Informa ESET, Grandoreiro genera ventanas emergentes falsas que suplantan la identidad del banco y le inducen a introducir sus datos, pero no es lo único que hace. También tiene la capacidad de funcionar como puerta trasera (backdoor) permitiendo al atacante acceder al equipo, así como keylogger registrando las pulsaciones del teclado y puede cerrar sesión o reiniciar el equipo.

¿Qué hacer si has recibido el mail fraudulento de WhatsApp?

Si no has pulsado en el botón para descargar el historial de conversaciones, no tienes nada que preocuparte. Lo único que deberás hacer es eliminar el correo para asegurarte de terminar con la amenaza.

Si has pulsado y has descargado el archivo ZIP pero no lo has ejecutado, continúas a salvo. En este caso, además de eliminar el mail, deberás localizar el archivo descargado que estará en la carpeta de Descargas si no elegiste otra ubicación al descargarlo. Debes eliminar también el archivo.

Y si has descomprimido el archivo ZIP pero no has intentado abrir el archivo .msi que trae en su interior, aún puedes respirar tranquilo. En este caso deberás eliminar inmediatamente mail, archivo ZIP y archivo .msi.

Pero si llegaste a intentar abrir o ejecutar el archivo .msi, en ese caso necesitas proceder a una inspección completa de tu equipo con el antivirus de tu elección. En estos casos es recomendable instalar un segundo antivirus o antimalware y realizar la comprobación por partida doble, dado que ni los mejores antivirus son capaces de detectar todo el software malicioso que circula por Internet. Este troyano es detectado por los antivirus como Win32/Spy.Grandoreiro.BB.

La mejor protección contra las abundantes amenazas en forma de software malicioso es la prevención. Mantén un buen antivirus actualizado en tu equipo, sospecha de los mails inusuales de empresas y fíjate detenidamente en el dominio del correo remitente, no basta con que sea similar al legítimo. Ante cualquier duda o sospecha, no realices ninguna acción y ponte en contacto con la empresa remitente para comprobar si la comunicación es lo que dice ser.