A empresa de cibersegurança Kaspersky identificou, em maio, uma campanha no México da quadrilha brasileira Grandoreiro. O vírus, que concede acesso remoto ao computador da vítima, foi encontrado em emails que citavam serviços do governo mexicano. A vítima era induzida a clicar em um link e baixar um arquivo zip. "O vírus só era instalado se o computador atendesse a alguns critérios, como estar no México", afirma o analista sênior da Kaspersky, Fábio Marenghi.
O Grandoreiro foi desmantelado pela Polícia Federal em janeiro em cooperação internacional com a polícia espanhola, o banco da Espanha Caixa Bank, a Interpol, a própria Kaspersky e a Eset. Com controle sobre a máquina, os criminosos monitoram o comportamento das vítimas para obter senhas de bancos e realizar transações bancárias quando a tela está desligada.
"Se o criminoso fez uma campanha mirando o México, ele só quer vítimas do México. Um brasileiro pode estar investigando o programa e será impedido", diz Marenghi. Ele, após análise do vírus, afirma que o código do Grandoreiro passou por mudanças para driblar softwares de proteção. "Foi a primeira vez que eu vi o uso de um algoritmo de criptografia [usado normalmente nos mais sofisticados ransomwares] em um cavalo de troia brasileiro", diz Marenghi. Essa foi a primeira detecção de uma campanha em massa do vírus brasileiro desde a prisão pela PF de 15 suspeitos de liderarem a quadrilha de crimes cibernéticos.