El laboratorio de ESET, la mayor empresa de ciberseguridad de la Unión Europea, continua con sus labores de investigación sobre troyanos bancarios procedentes de Latinoamérica, una de las amenazas más notorias en los últimos meses. Es el caso de Mekotio, un troyano bancario que está afectando especialmente a países de habla hispana y portuguesa, sobre todo a Brasil, Chile, México, Perú, Portugal y España.
Este malware realiza acciones típicas de los backdoor, entre las que se incluyen la toma de capturas de pantalla, el reinicio de las máquinas afectadas, las restricciones de acceso a webs legítimas de banca online y, en algunas variantes, incluso el robo de bitcoins o la extracción de credenciales almacenadas en Google Chrome.
Mekotio está activo desde al menos 2015 y comparte características con otros troyanos bancarios analizados por ESET, como el hecho de estar escrito en Delphi, utilizar ventanas emergentes y contar con funcionalidades de backdoor. Para no ser descubierto, en la medida de lo posible Mekotio intenta hacerse pasar por una actualización de seguridad mediante la aparición en pantalla de un mensaje específico.
Entre la información técnica a la que accede Mekotio en los dispositivos de sus víctimas se encuentra información acerca de la configuración del firewall, los privilegios de administrador, la versión de Windows o la lista de productos y soluciones antifraude y antimalware instalados. Uno de los comandos incluso intenta inutilizar el sistema eliminando todas las carpetas y archivos del directorio C:\Windows.