Tienes prisa: hay que llegar al trabajo, a una reunión importante, a una cita… Así que abres tu aplicación favorita para reservar un taxi, solo que esta vez te pide que ingreses tu número de tarjeta de crédito. ¿Te parece sospechoso? Puede que no, las aplicaciones olvidan la información, y lo único que tienes que hacer es introducir el número de nuevo.
Sin embargo, después de algún tiempo notarás que el dinero ha desaparecido de tu cuenta. ¿Qué ha pasado? Puede ser que hayas sido el ganador de la mala suerte de un troyano móvil. Este tipo de malware ha sido descubierto recientemente por hacer robos de datos bancarios a través de suplantar la interfaz de aplicaciones de reserva de taxi.
El troyano Faketooken ha existido por mucho tiempo, y ha sido actualizado durante muchos años. Nuestros expertos nombraron la versión actual “Faketoken.q,” y ya ha aprendido un número significativo de trucos.
Después de entrar a un smartphone (juzgando por el ícono de malware, Faketoken se infiltra en los smartphones a través de mensajes SMS, al enviar una foto para descargar) e instalar los módulos necesarios, el troyano oculta su ícono de acceso e inicia la supervisión de todo lo que ocurre en el sistema.
En primer lugar, el troyano está interesado en las llamadas del usuario. Tan pronto este detecta una llamada, comienza a grabar. Cuando termina la llamada, Faketoken envía la grabación al servidor del delincuente. En segundo lugar, el troyano también comprueba qué aplicaciones utiliza el propietario del teléfono inteligente.
Cuando Faketoken detecta el lanzamiento de una aplicación cuya interfaz se puede simular, el troyano superpone inmediatamente la aplicación con su propia pantalla. Para lograr esto, utiliza una función estándar de Android que ayuda a mostrar superposiciones de pantalla encima de todas las demás aplicaciones. Hay un montón de aplicaciones que utilizan esta función, como algunas aplicaciones de mensajería.
La ventana que se superpone coincide con los colores de la interfaz de la aplicación original. En esta ventana, el troyano solicita al usuario que introduzca el número de su tarjeta de crédito, incluyendo el código de verificación de la parte posterior de la tarjeta.
En realidad, Faketoken.q busca una gran variedad de aplicaciones con una cosa en común: una solicitud para introducir los datos de pago en un formato que no parece sospechoso. Entre las aplicaciones atacadas se encuentran varias aplicaciones de banca móvil, Android Pay, Google Play Store, aplicaciones para reservar vuelos y habitaciones de hotel y aplicaciones para pagar multas de tránsito, así como aplicaciones para reservar taxis.
Durante la misma etapa del robo de dinero, Faketoken recurre a otro truco, interceptando todos los mensajes de texto entrantes, ocultándolos al usuario y enviándolos al servidor de los criminales, donde se extraen las contraseñas únicas de los mensajes para la confirmación de pago.
Juzgando por el pequeño número de ataques que hemos registrado y los artefactos de la interfaz del usuario, que se puede ver en una de las capturas de pantalla anteriores, diríamos que los investigadores de nuestro laboratorio de antivirus han encontrado una de las versiones de prueba del Troyano, no la última.
Debemos darle su merecido a los creadores de Faketoken. Lo más probable es que mejoren el Troyano, y en cualquier momento podría brotar una ola de incidentes de infecciones de la versión “comercial”.
Actualmente, el objetivo del Troyano son los usuarios en Rusia, pero como hemos visto anteriormente en otras ocasiones, los cibercriminales constantemente se roban ideas entre ellos, por lo que no tardará en adoptar el mismo truco en otros países. Muchos de los habitantes de la ciudad tienen aplicaciones de reserva de taxi instaladas, por lo cual este truco representa una buena oportunidad para los creadores de malware.
A continuación, podrás encontrar varios consejos sobre cómo protegerte contra Faketoken y Troyanos móviles similares que roban números de tarjetas e interceptan mensajes de texto utilizando contraseñas de uso único para confirmar pagos.
- Es imprescindible que entres a la configuración de Android y prohibidas la instalación de aplicaciones de fuentes desconocidas. Para bloquear la instalación de fuentes desconocidas, ve a Configuración -> Seguridad y desmarca Fuentes desconocidas.
- Siempre debes prestar atención a los permisos de acceso que una aplicación solicita durante la instalación, incluso si la has descargado de Google Play (también puede haber Troyanos en la tienda oficial de aplicaciones). Puedes obtener más información acerca de los permisos de Android en este artículo.
- Es buena idea proteger tu smartphone con la instalación de un antivirus que pueda encontrar infecciones ocultas en una aplicación. Por ejemplo, puedes utilizar Kasperky Internet Security para Android básico, que puedes descargar desde Google Play de forma gratuita.