Подобно семействам вредоносных программ Amavaldo и Casbaneiro недавно описанным ESET, Mispadu написан на Delphi и нацелен на жертвы с помощью поддельных всплывающих окон, пытаясь убедить потенциальные жертвы поделиться своими личными данными и учетными данными. Банковский троянец Mispadu, который в первую очередь нацелен на Бразилию и Мексику, содержит функциональность бэкдора, может делать скриншоты, имитировать действия мыши и клавиатуры и захватывать нажатия клавиш.
Исследовательская группа компании ESET видела семью Mispadu с использованием двух различных методов распространения – через спам и вредоносную рекламу. В то время как первый распространен среди латиноамериканских банковских троянцев, последний довольно редок. Исполнитель угрозы Mispadu размещает на Facebook рекламные объявления, предлагающие поддельные купоны на скидку в Mcdonald’s. нажатие на рекламу приводит потенциальную жертву к вредоносной веб-странице, где можно загрузить ZIP-файл, содержащий установщик MSI, маскирующийся под купон на скидку. При загрузке и выполнении следует цепочка из трех сценариев, что приводит к загрузке и выполнению банковского троянца Mispadu. Троянец использует четыре потенциально нежелательных приложения, все модифицированные копии законного программного обеспечения, чтобы извлечь сохраненные учётные данные жертвы из веб-браузеров и почтовых клиентов.
В Бразилии Mispadu был замечен также при распространении интересного, но вредоносного расширения Google Chrome. Расширение утверждает, что оно «защищает ваш Chrome», но вместо этого оно пытается украсть данные кредитной карты и онлайн-банкинга и даже может подвергнуть риску Boleto, популярную платежную систему в Бразилии, которая использует систему продажи билетов на основе штрих-кода для передачи платежей. Компонент Boleto вредоносной атаки Mispadu является его самой продвинутой функцией, поскольку он заменяет законный штрих-код на билете Boleto на тот, что связан с банковским счетом злоумышленника, созданный путем злоупотребления законным веб-сайтом.
