Banca móvil y troyanos bancarios

martes, 13 de agosto de 2013

Durante 2012 se produjo un incremento del 28% en la banca móvil o M-Banking. Los usuarios acceden a sus cuentas bancarias desde sus dispositivos móviles, principalmente a través de una aplicación creada específicamente para el acceso a la entidad bancaria. ¿Qué beneficios y problemas nos trae este nueva forma de interactuar con las entidades bancarias?

Fuente: http://qz.com/79818/why-you-should-access-online-banking-on-your-smartphone-rather-than-your-computer/
¿En qué nos beneficia M-Mobile?

Las aplicaciones específicas de cada entidad (descargadas generalmente desde las tiendas de aplicaciones oficiales, como la App Store de Apple o Google Play de Android por seguridad y disponibilidad)  facilitan el acceso a nuestras cuentas de una manera más rápida y directa evitando en cierta manera el riesgo de phishing que podría resultar del uso del navegador y enlaces.

Pero el uso de aplicaciones conlleva otros riesgos. Se supone que las apps se someten a una serie de pruebas y análisis antes de estar disponibles para el público. Entre otras medidas, Google Play utiliza "Bouncer", un sistema que analiza dinámicamente las aplicaciones antes de hacerlas públicas, pero que no ha evitado que la tienda oficial aloje una buena cantidad de malware para el dispositivo, camuflado tanto en aplicaciones legítimas como en programas que simulan ser de una entidad bancaria y que solo pretenden robar credenciales. La Apple Store se encuentra mejor protegida en este aspecto, por su política mucho más restrictiva a la hora de permitir subir una aplicación a la tienda.

Hasta ahora, se han dado casos de aplicaciones que simulan ser los programas oficiales necesarios para operar con una entidad bancaria. Estas se ofertan habitualmente desde repositorios fraudulentos o desde la tienda oficial (durante un corto espacio de tiempo en cuanto consiguen detectarla). Pero hay otras fórmulas. Aunque no se han dado muchos casos de este tipo, el malware previamente alojado en el dispositivo también podría llegar a robar la información de la aplicación bancaria legítima. El método para infectar el dispositivo en primer lugar suele ser la instalación de una aplicación que contiene el malware o que "es" el malware, aunque también puede venir desde un adjunto de un correo electrónico, o incluso a través de un PC infectado. Luego, bastaría con acceder a los datos tecleados, o que viajan por la red generados por la aplicación oficial.

Culpables
El malware Zeus (Zbot) con sus múltiples variantes es el troyano bancario más popular. Programado en C++ (y PHP su parte "servidor") fue descubierto inicialmente en 2007 y supuso una verdadera revolución en el mundo del malware, dada su especialización y habilidad para obtener credenciales de la banca online en un Windows. Ha ido evolucionando con el tiempo, adaptándose y mejorando para eludir los nuevos sistemas de seguridad.
Zeus se podía conseguir en el mercado negro con un coste aproximado de 2500 – 3000€ proporcionando un completo arsenal de información y manuales para "aprender a robar". Aparte, los estafadores pueden comprar módulos adicionales para mejorar la funcionalidad o incluso usarlo como servicio, alquilando botnets de sistemas infectados. En 2011 se filtró su código fuente, dando lugar a otras variantes mantenidas por "la comunidad". SpyEye es también un malware bancario muy popular, con una buena cantidad de plugins y funcionalidades muy avanzadas.
El malware basado en Zeus está en continuo movimiento y mejora, en un intento de hacer caja con la venta del producto. Como ejemplo, una nueva variante de malware bancario "as a service" aparecido en 2013 es “KINS” (Kasper internet non security) desarrollado a partir de Zeus y añadiendo mejoras de SpyEye. Se puede adquirir en el mercado negro y se espera que cubra el hueco dejado por sus antecesores y aproveche un trozo del "mercado".
Fuente: https://blogs.rsa.com/is-cybercrime-ready-to-crown-a-new-kins-inth3wild/
Malware y teléfonos

A medida que avanzaba la seguridad en la banca online, integrando el móvil como segundo factor de autenticación, el malware (en especial Zeus y sus variantes) tuvo que adaptarse e infectar también estos dispositivos. Así, se instauró el término "MitMo" (Man in the mobile) para un tipo de variante de Zeus que intentaba eludir la seguridad de la banca online infectando también el teléfono y, con ello, los SMS usados como fórmula de autenticación. El usuario (ya infectado en su PC) es instado a descargar una aplicación en el móvil. Este malware para móvil debe funcionar en conjunto con el troyano que se aloja en el sistema de la víctima. Por sí solos, no están destinados específicamente al robo de información bancaria en el móvil.

Pero ya se han observado variantes de malware para Android específicamente diseñadas para robar a usuarios de un banco en concreto. Kasperksy ha alertado sobre un malware que, además de robar todo tipo de información del teléfono, es capaz de comunicarse a través de comandos POST con un C&C. Pero lo más interesante es que contiene código específicamente diseñado para obtener el balance del usuario si este está registrado con el banco ruso Sberbank (enviando un SMS a un número gratuito a disposición de sus clientes). También intercepta todos los SMS y llamadas relacionadas con ese banco, lo que supone un primer acercamiento a una funcionalidad básica de los troyanos bancarios para PC, que desde hace tiempo están programados específicamente para cada banco.
Fuente: http://www.securitylab.ru/news/442700.php

De momento solo ha sido detectado en Rusia, cuna junto a otros países del Este de gran parte del malware bancario más sofisticado.

Antonio Bordón Villar

No hay comentarios:

Publicar un comentario