Banca móvil y troyanos bancarios

Durante 2012 se produjo un
incremento del 28% en la banca móvil o M-Banking. Los usuarios acceden a sus
cuentas bancarias desde sus dispositivos móviles, principalmente a través de
una aplicación creada específicamente para el acceso a la entidad bancaria. ¿Qué
beneficios y problemas nos trae este nueva forma de interactuar con las
entidades bancarias?

Fuente: http://qz.com/79818/why-you-should-access-online-banking-on-your-smartphone-rather-than-your-computer/

¿En qué nos beneficia M-Mobile?

Las aplicaciones específicas de
cada entidad (descargadas generalmente desde las tiendas de aplicaciones
oficiales, como la App Store de Apple o Google Play de Android por seguridad y
disponibilidad) facilitan el acceso a
nuestras cuentas de una manera más rápida y directa evitando en
cierta manera el riesgo de phishing que podría resultar del uso del navegador y enlaces.

Pero el uso de aplicaciones
conlleva otros riesgos. Se supone que las apps se someten a una serie de
pruebas y análisis antes de estar disponibles para el público. Entre otras
medidas, Google Play utiliza “Bouncer”, un sistema que analiza
dinámicamente las aplicaciones antes de hacerlas públicas, pero que no ha evitado que la tienda oficial aloje una buena cantidad de malware para el dispositivo,
camuflado tanto en aplicaciones legítimas como en programas que simulan ser de
una entidad bancaria y que solo pretenden robar credenciales. La Apple Store se
encuentra mejor protegida en este aspecto, por su política mucho más
restrictiva a la hora de permitir subir una aplicación a la tienda.

Hasta
ahora, se han dado casos de aplicaciones que simulan ser los programas
oficiales necesarios para operar con una entidad bancaria. Estas se ofertan
habitualmente desde repositorios fraudulentos o desde la tienda
oficial (durante un corto espacio de tiempo en cuanto consiguen detectarla). Pero hay otras fórmulas. Aunque no se han
dado muchos casos de este tipo, el malware previamente alojado en el
dispositivo también podría llegar a robar la información de la aplicación
bancaria legítima. El método para infectar el dispositivo en primer lugar suele ser la
instalación de una aplicación que contiene el malware o que “es” el
malware, aunque también puede venir desde un adjunto de un correo electrónico, o
incluso a través de un PC infectado. Luego, bastaría con acceder a los datos tecleados, o que viajan por la red generados por la aplicación oficial.

Culpables

El malware Zeus (Zbot) con sus múltiples variantes es el
troyano bancario más popular. Programado en C++ (y PHP su parte
“servidor”) fue descubierto inicialmente en 2007 y supuso una
verdadera revolución en el mundo del malware, dada su especialización y habilidad
para obtener credenciales de la banca online en un Windows. Ha ido
evolucionando con el tiempo, adaptándose y mejorando para eludir los nuevos
sistemas de seguridad.

Zeus se podía conseguir en el
mercado negro con un coste aproximado de 2500 – 3000€ proporcionando un
completo arsenal de información y manuales para “aprender a robar”. Aparte,
los estafadores pueden comprar módulos adicionales para mejorar la funcionalidad o incluso usarlo como servicio, alquilando botnets de sistemas infectados. En 2011 se filtró su código
fuente, dando lugar a otras variantes mantenidas por “la comunidad”.
SpyEye es también un malware bancario muy popular, con una buena cantidad de
plugins y funcionalidades muy avanzadas.

El malware basado en Zeus está en continuo
movimiento y mejora, en un intento de hacer caja con la venta del producto. Como
ejemplo, una nueva variante de malware bancario “as a service”
aparecido en 2013 es “KINS” (Kasper internet non security) desarrollado a
partir de Zeus y añadiendo mejoras de SpyEye. Se puede adquirir en el mercado
negro y se espera que cubra el hueco dejado por sus antecesores y aproveche un
trozo del “mercado”.

Fuente: https://blogs.rsa.com/is-cybercrime-ready-to-crown-a-new-kins-inth3wild/

Malware y teléfonos

A medida que avanzaba la seguridad en la banca
online, integrando el móvil como segundo factor de autenticación, el malware
(en especial Zeus y sus variantes) tuvo que adaptarse e infectar también estos
dispositivos. Así, se instauró el término “MitMo” (Man in the mobile)
para un tipo de variante de Zeus que intentaba eludir la seguridad de la banca
online infectando también el teléfono y, con ello, los SMS usados como fórmula
de autenticación. El usuario (ya infectado en su PC) es instado a descargar una
aplicación en el móvil. Este malware para móvil debe funcionar en conjunto con
el troyano que se aloja en el sistema de la víctima. Por sí solos, no están
destinados específicamente al robo de información bancaria en el móvil.

Pero ya se han observado variantes de malware para
Android específicamente diseñadas para robar a usuarios de un banco en
concreto. Kasperksy ha alertado sobre un malware que, además de robar todo tipo
de información del teléfono, es capaz de comunicarse a través de comandos POST
con un C&C. Pero lo más interesante es que contiene código específicamente
diseñado para obtener el balance del usuario si este está registrado con el
banco ruso Sberbank (enviando un SMS a un número gratuito a disposición de sus clientes).
También intercepta todos los SMS y llamadas relacionadas con ese banco, lo que supone un primer acercamiento a una funcionalidad básica de los troyanos bancarios para PC, que desde hace tiempo están programados específicamente para cada banco.