Maverick, el troyano bancario impulsado por IA que amenaza con dar el salto fuera de Brasil

El Equipo Global de Investigación y Análisis de Kaspersky (GReAT) ha identificado a Maverick como uno de los troyanos bancarios más avanzados surgidos en 2025. El malware comparte elementos de código con Coyote, otro troyano brasileño que ya empleaba generación asistida por IA para ofuscar módulos críticos, como el descifrado de certificados o la escritura de componentes maliciosos.

Esta tendencia, advertida previamente por Kaspersky y por organismos como INCIBE, confirma que los ciberdelincuentes están utilizando herramientas de IA para acelerar el desarrollo de malware, crear variantes más difíciles de detectar y personalizar ataques a gran escala.

 

Propagación masiva a través de WhatsApp

En la campaña más reciente, Maverick se distribuyó mediante archivos LNK maliciosos enviados por WhatsApp, acompañados de URLs en portugués para aumentar su credibilidad. Los atacantes configuraron el servidor de mando y control (C2) para validar cada descarga y asegurarse de que procedía del propio sistema infectado, una técnica diseñada para limitar la infección a usuarios brasileños y evitar análisis externos. Según Kaspersky, solo en los primeros diez días de octubre se bloquearon más de 62.000 intentos de ejecución del archivo malicioso en Brasil.

Maverick destaca por su capacidad para tomar el control total del dispositivo comprometido. Entre sus funciones se encuentran la captura de pantalla y monitorización de la actividad del navegador; la instalación de keyloggers y control remoto del ratón; el bloqueo de la pantalla al acceder a webs bancarias; y el cierre de procesos y superposición de páginas de phishing para robar credenciales.

El troyano vigila la actividad en 26 bancos brasileños, seis plataformas de criptomonedas y un servicio de pagos. Sus módulos se ejecutan directamente en memoria, lo que reduce su huella en disco y dificulta su detección. Para ello emplea PowerShell, .NET y shellcode cifrado generado con Donut.

 

Riesgo de expansión internacional

Aunque la campaña actual se ha centrado en Brasil, los analistas advierten de que Maverick podría seguir el mismo camino que otras familias de troyanos bancarios brasileños, como Grandoreiro o Guildma, que terminaron extendiéndose a otros países.

“Estamos ante una de las cadenas de infección más sofisticadas que hemos visto en troyanos bancarios”, señala Fabio Assolini, responsable de GReAT para América y Europa. “Su capacidad de propagación y su uso de IA lo convierten en una amenaza con potencial internacional”.

Kaspersky recuerda varias medidas clave para reducir el riesgo:

-     Desconfiar de archivos o enlaces recibidos por mensajería, incluso de contactos conocidos.

-     Utilizar soluciones de seguridad con funciones como Safe Money para validar páginas bancarias.

-     Mantener el software actualizado y aplicar parches de seguridad.

-     Descargar aplicaciones solo de fuentes oficiales.

-     Verificar la legitimidad de las actualizaciones antes de instalarlas.