Troyanos bancarios: la mayor amenaza cibernética móvil

Los smartphones actuales son ordenadores propiamente dichos, mucho más potentes que los ordenadores de sobremesa que usábamos hace 10 años. Seguramente tu dispositivo contiene información muy valiosa para los cibercriminales, como tus datos bancarios.

Todavía nos encontramos en medio del boom de los smartphones. En los últimos dos años, más del 50 % de los dispositivos móviles utilizados por los usuarios son smartphones. A su vez, esto nos lleva a un mayor problema: las ciberamenazas móviles. Mientras que los usuarios de PCs ya están habituados al menos a un nivel básico de seguridad, la mayoría de los usuarios de smartphones todavía consideran sus dispositivos como “simples teléfonos”, poniéndolos al mismo nivel que una plancha o una lavadora por lo que, ¿por qué preocuparse?

Los smartphones actuales son ordenadores propiamente dichos, mucho más potentes que los ordenadores que usábamos hace 10 años. Y son muy peligrosos. Mientras que el disco duro de tu PC puede que no contenga nada valioso, aparte de un par de trabajos de investigación de tus años de universidad y unas cuantas fotos de tus últimas vacaciones, seguramente tu smartphone contiene información muy valiosa tanto para ti como para los cibercriminales.

Si tienes un smartphone, lo más probable es que también tengas una tarjeta bancaria. Los bancos utilizan los números de teléfono para autorizar ciertas acciones (envían contraseñas de un solo uso mediante SMS), por lo que es muy probable que los cibercriminales penetren en estos canales de comunicación y realicen pagos y transferencias desde tu cuenta bancaria.

Dicho esto, no nos sorprende que los troyanos bancarios sean la amenaza móvil más prominente. Más del 98% de los ataques móviles están dirigidos a dispositivos Android, hecho que tampoco nos sorprende. Android es la plataforma móvil más popular del mundo (más del 80% del mercado global de smartphones), y de todas las plataformas móviles más conocidas, sólo Android permite la transferencia de software desde otros dispositivos.

A pesar de que los troyanos son menos peligrosos que los virus, ya que requieren de acciones que lleve a cabo el usuario para infiltrarse en los sistemas, existen un gran número de técnicas de ingeniería social que atraen al usuario para que instale el troyano, por ejemplo, con la forma de una nueva actualización o el nivel extra de tu juego de móvil favorito. Además, muchos exploits son capaces de ejecutar el malware automáticamente, una vez que el usuario abra de forma accidental el archivo malicioso.

Existen tres métodos principales empleados por los troyanos bancarios:

  • Esconder los mensajes de texto: el malware en dispositivos móviles esconde los SMS entrantes de los bancos y los envía a los criminales con el fin de transferir dinero a sus cuentas bancarias.
  • Pequeños movimientos bancarios: a menudo los hackers transfieren de manera ocasional pequeñas sumas de dinero a cuentas bancarias fraudulentas desde la cuenta de un usuario infectado.
  • Efecto espejo en las apps: el malware imita las apps móviles de los bancos con el fin de obtener las credenciales del usuario y acceder con sus datos a la aplicación real para llevar a cabo las dos acciones anteriores.

La mayoría de los troyanos bancarios (más del 50%) tienen como objetivo Rusia y los países de la Comunidad de Estados Independientes además de la India y Vietnam. Últimamente está emergiendo una nueva generación de malware móvil universal. Este grupo es capaz de descargar perfiles actualizados de diferentes bancos extranjeros desde EE.UU., Alemania y Reino Unido.

El abuelo de todos los troyanos de banca electrónica es Zeus, alias Zitmo (Zeus-in-the-mobile, Zeus en el móvil, en español), que surgió en el año 2010 (su antecesor para PC, también llamado Zeus, fue creado en 2006). Este malware infectó más de 3,5 millones de dispositivos solamente en EE.UU., y creó el botnet más grande de la historia.

Se trata del clásico malware que secuestra las credenciales de acceso que introduce el usuario en la interfaz de la banca electrónica y las envía al hacker, permitiéndole acceder al sistema usando las credenciales robadas y ejecutando transacciones ilegales (Zitmo fue capaz de sortear incluso la autenticación de dos factores).

Además, gracias a Zeus, los hackers lograron hacerse con más de 74.000 contraseñas de los servidores FTP de varias páginas web (entre las que se incluye Bank of America), alterando su código para poder acceder a los datos de las tarjetas de crédito tras cada intento de realizar un pago. Zeus estuvo muy activo hasta finales de 2013, cuando fue expulsado por el actualizado Xtreme RAT, sin embargo, el kernel del troyano está todavía de moda entre los ingenieros de malware.

En el 2011 surgió SpyEye; éste fue uno de los troyanos bancarios más exitosos de la historia. Su creador, Alexander Panin, vendió el código en el mercado negro por un precio entre 1.000 y 8.500 dólares. De acuerdo con el FBI que sacó del anonimato al creador de SpyEye, la cifra de compradores que modificaron el troyano con el fin de robar dinero de varios bancos, alcanzó los 150. Uno de los hackers consiguió robar más de 3,2 millones de dólares en tan sólo seis meses.

En 2012 apareció otra especie de troyano: Carberp. Este componente imitaba las aplicaciones Android de los principales bancos rusos, Sberbank y Alfa Bank, y estaba dirigido a sus usuarios de Rusia, Bielorrusia, Kazajistán, Moldavia y Ucrania. Curiosamente, los criminales consiguieron publicar aplicaciones falsas en Google Play.

El grupo cibercriminal formado por 28 miembros, fue arrestado durante una operación conjunta entre Rusia y Ucrania. Sin embargo, el código fuente de Carberp se publicó en 2013, quedando a disposición de cualquiera que lo quisiera usar para crear su propio malware. Mientras que el Carberp original fue creado por países de la antigua Unión Soviética, sus clones han aparecido por todo el mundo, incluyendo EE.UU. y algunos países de Europa y Latinoamérica.

En 2013 Hesperbot empezó a cobrarse víctimas. Este malware se originó en Turquía y se extendió a nivel mundial desde Portugal y la República Checa. Además de causar los problemas típicos de este tipo de malware, este troyano crea un servidor VNC escondido en un smartphone, que permite a un atacante acceder y manejar el dispositivo de forma remota.

Incluso cuando el troyano ya no está, el acceso remoto permanece y permite a los atacantes acceder a todos los mensajes como si el dispositivo estuviera en su poder, brindando otra oportunidad para instalar el malware. Además, Hesperbot no sólo actuaba como un troyano bancario, sino también como un ladrón de Bitcoin. El Hesperbot se distribuye a través de campañas de phishing suplantando a los servicios de correo electrónico.

En el 2014 se lanzó el código fuente del malware iBanking de Android. iBanking es un paquete integral que intercepta SMS y controla el dispositivo de forma remota, con un precio de unos 5.000 dólares. La publicación del código provocó una oleada de dispositivos infectados.

El paquete incluye código malicioso que reemplaza a la aplicación bancaria legítima (la app original todavía sigue funcionando pero se modifica para incluir un mayor rango de características) y un programa de Windows con una Interfaz gráfica de usuario que permite el control de todos los smartphones afectados de la lista que se actualiza automáticamente para incluir nuevas víctimas.

Es fascinante que, aunque exista una versión gratuita disponible de la plataforma de software malicioso, su versión premium sea mucho más popular. Los usuarios Premium disponen de actualizaciones regulares de los productos, además de un servicio de atención al cliente. A finales de ese año otros dos troyanos fueron descubiertos en Google Play, con Brasil como objetivo, y fueron creados sin el uso de ninguna característica de programación especial, simplemente basándose en el paquete universal disponible.

En lo que respecta a los ataques bancarios, Brasil tiene una ubicación geográfica especial. La explicación puede ser por la popularidad del sistema de pago móvil llamado Boleto. Éste habilita a un usuario a transferir dinero a otro usuario mediante cheques virtuales que contienen un único código identificativo de pago, que se transforma en la pantalla en un código de barras y que el destinatario escanea más tarde usando la cámara de su móvil.

Los troyanos especiales que tenían como objetivo a los usuarios de Boleto (como Infostealer.Boleteiro), interceptaban los cheques generados en cuanto llegaban al navegador y los modificaban “al vuelo” para enviárselos a los hackers.

Además, el troyano monitoriza la entrada del código identificativo en el sistema de Boleto en los sitios web y en las aplicaciones bancarias (durante la reposición de la cuenta en el sistema) e intercambia de forma clandestina la identificación legítima por una corrupta.

En junio de 2015, se descubrió en Rusia un Nuevo troyano: Android.Bankbot.65. Su origen se disfrazó como un parche oficial de la aplicación de Sberbank Online y ofrecía “una gama más amplia de características de banca electrónica”, disponibles tras la instalación de la “nueva versión”.

De hecho, la app siguió siendo una herramienta de banca electrónica funcional, por lo que los usuarios no notaron el cambio. Por consiguiente, en julio 100.000 usuarios de Sberbank declararon la pérdida de más de dos mil millones de rublos. Todos ellos habían usado la aplicación corrupta de “Sberbank Online”.

No hace falta decir que la historia de los troyanos bancarios todavía no ha terminado: se siguen creando cada vez más apps nuevas, y los hackers cuentan con técnicas cada vez más eficientes para atraer a los usuarios a sus trampas. Así que, ya es hora de que protejas tu smartphone de forma apropiada.

Consejos