Troyanos bancarios: la mayor amenaza cibernética móvil

Los smartphones actuales son computadoras, propiamente llamadas, mucho más potentes que las computadoras de sobremesa que usábamos hace 10 años. Seguramente tu dispositivo contiene información muy valiosa para los cibercriminales, como tus datos bancarios.

Todavía estamos en medio del boom de los smartphones. En los últimos dos años, más del 50 % de los dispositivos móviles utilizados por los usuarios son smartphones. Al mismo tiempo, esto nos lleva a un mayor problema: las ciberamenazas móviles. Mientras que los usuarios de PCs ya están acostumbrados por lo menos a un nivel básico de seguridad, la mayoría de los usuarios de smartphones todavía consideran sus dispositivos como unos “simples teléfonos”, poniéndolos al mismo nivel que una plancha o una lavadora, así que, ¿por qué preocuparse?

Los smartphones actuales son computadoras, llamadas apropiadamente, mucho más potentes que las computadoras que usábamos hace 10 años. Y son muy peligrosas. Mientras que el disco duro de tu PC puede que no contenga nada valioso, aparte de un par de trabajos de investigación de tus años en la universidad y unas cuantas fotos de tus últimas vacaciones, seguramente tu smartphone contiene información muy valiosa tanto para ti como para los cibercriminales.

Si tienes un smartphone, lo más probable es que también tengas una tarjeta bancaria. Los bancos utilizan los números de teléfono para autorizar ciertas acciones (envían contraseñas de un solo uso a través de SMS), por lo que es muy probable que los cibercriminales entren en estos canales de comunicación y realicen pagos y transferencias desde tu propia cuenta bancaria.

Sabiendo esto, no nos sorprende que los troyanos bancarios sean la amenaza móvil más prominente. Más del 98% de los ataques móviles están dirigidos a dispositivos Android, algo que tampoco nos sorprende. Android es la plataforma móvil más popular del mundo (más del 80% del mercado global de smartphones), y de todas las plataformas móviles más conocidas, sólo Android permite la transferencia de software desde otros dispositivos.

A pesar de que los troyanos son menos peligrosos que los virus, ya que requieren de acciones que lleve a cabo el usuario para poder infiltrarse en los sistemas, existen un sinnúmero de técnicas de ingeniería social que atraen al usuario para que instale el troyano, por ejemplo, disfrazado de una nueva actualización o el nivel extra de tu juego de móvil favorito. Además, muchos exploits son capaces de ejecutar el malware automáticamente, una vez que el usuario abra de forma accidental el archivo malicioso.

Existen tres métodos principales empleados por los troyanos bancarios:

  • Esconder los mensajes de texto: el malware en dispositivos móviles esconde los SMS entrantes de los bancos y los envía a los criminales con el objetivo de transferir dinero a sus cuentas bancarias.
  • Pequeños movimientos bancarios: a menudo los hackers transfieren de manera ocasional pequeñas sumas de dinero a cuentas bancarias fraudulentas desde la cuenta de un usuario infectado.
  • Efecto espejo en las aplicaciones: el malware imita a las aplicaciones móviles de los bancos con el objetivo de obtener las credenciales del usuario y acceder con sus datos a la aplicación real para llevar a cabo las dos acciones anteriores.

La mayoría de los troyanos bancarios (más del 50%) tienen como objetivo a Rusia y los países de la Comunidad de Estados Independientes además de la India y Vietnam. Últimamente está emergiendo una nueva generación de malware móvil universal. Este grupo es capaz de descargar perfiles actualizados de diferentes bancos extranjeros desde Estados Unidos, Alemania e Inglaterra.

El abuelo de todos los troyanos de banca electrónica es Zeus, alias Zitmo (Zeus-in-the-mobile, Zeus en el móvil, en español), que surgió en el año 2010 (su antecesor para PC, también llamado Zeus, fue creado en el 2006). Este malware infectó más de 3.5 millones de dispositivos solamente en Estados Unidos, y creó el botnet más grande de la historia.

Se trata del clásico malware que secuestra las credenciales de acceso que introduce el usuario en la interfaz de la banca electrónica y las envía al hacker, permitiéndole acceder al sistema usando las credenciales robadas y ejecutando transacciones ilegales (Zitmo fue capaz de sortear incluso la autenticación de dos factores).

Además, gracias a Zeus, los hackers lograron robar más de 74, 000 contraseñas de los servidores FTP de varios sitios web (entre ellos, Bank of America), alterando su código para poder acceder a los datos de las tarjetas de crédito después de cada intento de realizar un pago. Zeus estuvo muy activo hasta finales de 2013, cuando fue expulsado por el actualizado Xtreme RAT, sin embargo, el kernel del troyano está todavía de moda entre los ingenieros de malware.

En el 2011 surgió SpyEye; éste fue uno de los troyanos bancarios más exitosos de la historia. Su creador, Alexander Panin, vendió el código en el mercado negro por un precio entre 1, 000 y 8, 500 dólares. De acuerdo con el FBI, que sacó del anonimato al creador de SpyEye, la cifra de compradores que modificaron el troyano con el fin de robar dinero de varios bancos, alcanzó los 150. Uno de los hackers consiguió robar más de 3.2 millones de dólares en tan sólo seis meses.

En el 2012 apareció otra especie de troyano: Carberp. Este componente imitaba las aplicaciones de Android de los principales bancos rusos, Sberbank y Alfa Bank, y estaba dirigido a sus usuarios de Rusia, Bielorrusia, Kazajistán, Moldavia y Ucrania. Curiosamente, los criminales consiguieron publicar aplicaciones falsas en Google Play.

El grupo cibercriminal formado por 28 miembros, fue arrestado durante una operación conjunta entre Rusia y Ucrania. Sin embargo, el código fuente de Carberp se publicó en el 2013, quedando a disposición de cualquiera que lo quisiera usar para crear su propio malware. Mientras que el Carberp original fue creado por países de la antigua Unión Soviética, sus clones han aparecido por todo el mundo, incluyendo Estados Unidos y algunos países de Europa y Latinoamérica.

En el 2013 Hesperbot empezó a cobrarse víctimas. Este malware se originó en Turquía y se extendió a nivel mundial desde Portugal y República Checa. Además de causar los problemas típicos de este tipo de malware, este troyano crea un servidor VNC escondido en un smartphone, que permite a un atacante acceder y manejar el dispositivo de forma remota.

Incluso cuando el troyano ya no está, el acceso remoto permanece y permite a los atacantes acceder a todos los mensajes como si el dispositivo estuviera en su poder, brindando otra oportunidad para instalar el malware. Además, Hesperbot no sólo actuaba como un troyano bancario, sino también como un ladrón de Bitcoin. El Hesperbot se distribuye a través de campañas de phishing suplantando a los servicios de correo electrónico.

En el 2014 se lanzó el código fuente del malware iBanking de Android. iBanking es un paquete integral que intercepta los SMS y controla el dispositivo de forma remota, con un precio de unos 5, 000 dólares. La publicación del código provocó la infección de varios dispositivos.

El paquete incluye código malicioso que reemplaza a la aplicación bancaria legítima (la aplicación original todavía sigue funcionando pero se modifica para incluir un mayor rango de características) y un programa de Windows con una Interfaz gráfica de usuario que permite el control de todos los smartphones afectados de la lista que se actualiza automáticamente para incluir nuevas víctimas.

Es increíble que aunque exista una versión gratuita y disponible de la plataforma de software malicioso, su versión premium sea mucho más popular. Los usuarios Premium disponen de actualizaciones regulares de los productos, además de un servicio de atención al cliente. A finales de ese año otros dos troyanos fueron descubiertos en Google Play, con Brasil como objetivo, y fueron creados sin el uso de ninguna característica de programación especial, simplemente basándose en el paquete universal disponible.

En lo que respecta a los ataques bancarios, Brasil tiene una ubicación geográfica especial. La explicación puede ser por la popularidad del sistema de pago móvil llamado Boleto. Éste habilita a un usuario a transferir dinero a otro usuario mediante cheques virtuales que contienen un único código identificativo de pago, que se transforma en la pantalla en un código de barras y que el destinatario escanea más tarde usando la cámara de su celular.

Los troyanos especiales que tenían como objetivo a los usuarios de Boleto (como Infostealer.Boleteiro), interceptaban los cheques generados en cuanto llegaban al navegador y los modificaban “al vuelo” para enviárselos a los hackers.

Además, el troyano monitoriza la entrada del código identificativo en el sistema de Boleto en los sitios web y en las aplicaciones bancarias (durante la reposición de la cuenta en el sistema) e intercambia de forma clandestina la identificación legítima, por una corrupta.

En junio del 2015, se descubrió en Rusia un Nuevo troyano: Android.Bankbot.65. Su origen se disfrazó como un parche oficial de la aplicación de Sberbank Online y ofrecía “una gama más amplia de características de banca electrónica”, disponibles tras la instalación de la “nueva versión”.

De hecho, la aplicación siguió siendo una herramienta de banca electrónica funcional, por lo que los usuarios no notaron el cambio. Por consiguiente, en julio 100, 000 usuarios de Sberbank declararon la pérdida de más de dos mil millones de rublos. Todos ellos habían usado la aplicación corrupta de “Sberbank Online”.

No es necesario decir que la historia de los troyanos bancarios todavía no ha terminado: se siguen creando cada vez más aplicaciones nuevas, y los hackers cuentan con técnicas cada vez más eficientes para atraer a los usuarios a sus trampas. Así que, ya es hora de que protejas tu smartphone de forma apropiada.

Consejos