El troyano Faketoken suplanta aplicaciones de taxis para robar datos bancarios

Los troyanos de Android han estado imitando aplicaciones bancarias, de mensajería instantánea y sociales por un tiempo. Las aplicaciones de reserva de taxis son las que siguen.

Tienes prisa: hay que llegar al trabajo, a una reunión importante, a una cita… Así que abres tu aplicación favorita para pedir un taxi, solo que esta vez te pide que introduzcas el número de tu tarjeta de crédito. ¿Te parece sospechoso? Puede que no, las aplicaciones olvidan la información y lo único que tienes que hacer es introducir el número de nuevo.

Sin embargo, después de algún tiempo notarás que ha desaparecido dinero de tu cuenta. ¿Qué ha pasado? Puede ser que hayas tenido la mala suerte de toparte con un troyano para móvil. Este tipo de malware ha sido descubierto recientemente por robar datos bancarios suplantando la interfaz de algunas aplicaciones de reserva de taxi.

El troyano Faketooken existe desde hace mucho tiempo y se ha actualizado durante muchos años. Nuestros expertos nombraron la versión actual “Faketoken.q,” y ya ha aprendido un varios trucos.

Después de acceder a un smartphone (a juzgar por el icono de malware, Faketoken se cuela en los smartphones a través de mensajes SMS, al enviar una foto para descargar) e instalar los módulos necesarios, el troyano oculta su icono de acceso e inicia la supervisión de todo lo que ocurre en el sistema.

Icono del troyano Faketoken instalado

En primer lugar, el troyano se interesa por las llamadas del usuario. Tan pronto este detecta una llamada, empieza a grabar. Cuando termina la llamada, Faketoken envía la grabación al servidor del delincuente. En segundo lugar, el troyano también comprueba qué aplicaciones utiliza el propietario del smartphone.

Cuando Faketoken detecta el lanzamiento de una aplicación cuya interfaz se puede simular, el troyano superpone inmediatamente la aplicación con su propia pantalla. Para lograr esto, utiliza una función estándar de Android que ayuda a mostrar superposiciones de pantalla encima de todas las demás aplicaciones. Hay muchas aplicaciones que utilizan esta función, como algunas aplicaciones de mensajería.

La ventana que se superpone coincide con los colores de la interfaz de la aplicación original. En esta ventana, el troyano solicita al usuario que introduzca el número de su tarjeta de crédito, incluyendo el código de verificación de la parte posterior de la tarjeta.

El troyano Faketoken.q pasa por aplicaciones populares de reserva de taxis en Rusia

En realidad, Faketoken.q busca una gran variedad de aplicaciones con una cosa en común: una solicitud para introducir los datos de pago en un formato que no parece sospechoso. Entre las aplicaciones atacadas se encuentran varias aplicaciones de banca móvil, Android Pay, Google Play Store, aplicaciones para reservar vuelos y habitaciones de hotel y aplicaciones para pagar multas de tránsito, así como aplicaciones para reservar taxis.

Durante la misma etapa del robo de dinero, Faketoken recurre a otro truco, interceptando todos los mensajes de texto entrantes, ocultándolos al usuario y enviándolos al servidor de los criminales, donde se extraen las contraseñas únicas de los mensajes para la confirmación de pago.

Cómo consiguen los troyanos bancarios burlar la verificación en dos pasos

Juzgando por el pequeño número de ataques que hemos registrado y los artefactos de la interfaz del usuario, que se puede ver en una de las capturas de pantalla anteriores, diríamos que los investigadores de nuestro laboratorio de antivirus han encontrado una de las versiones de prueba del troyano, no la última.

Debemos darle su merecido a los creadores de Faketoken. Lo más probable es que mejoren el troyano, y en cualquier momento podría brotar una ola de incidentes de infecciones de la versión “comercial”.

Actualmente, el objetivo del troyano son los usuarios en Rusia, pero como hemos visto anteriormente en otras ocasiones, los cibercriminales constantemente se roban ideas entre ellos, por lo que no tardará en adoptar el mismo truco en otros países. Muchos de los habitantes de la ciudad tienen aplicaciones de reserva de taxi instaladas, por lo cual este truco representa una buena oportunidad para los creadores de malware.

A continuación, podrás encontrar varios consejos sobre cómo protegerte contra Faketoken y troyanos móviles similares que roban números de tarjetas e interceptan mensajes de texto utilizando contraseñas de uso único para confirmar pagos.

  • Es imprescindible que entres a la configuración de Android y prohibas la instalación de aplicaciones de fuentes desconocidas. Para ello, ve a Configuración -> Seguridad y desmarca Fuentes desconocidas.
  • Siempre debes prestar atención a los permisos de acceso que una aplicación solicita durante la instalación, incluso si la has descargado desde Google Play (también puede haber troyanos en la tienda oficial de aplicaciones). Puedes obtener más información acerca de los permisos de Android en este artículo.
  • Es buena idea proteger tu smartphone con la instalación de un antivirus que pueda encontrar infecciones ocultas en una aplicación. Por ejemplo, puedes utilizar Kasperky Internet Security para Android básico, que puedes descargar desde Google Play de forma gratuita.
Consejos