La falsa aplicación que roba los datos bancarios de los usuarios. /HISPASECLa empresa malagueña Hispasec Sistemas detecta un virus de robo de credenciales bancarias que por primera vez afecta a entidades españolas como Santander, BBVA, Bankia, Cajamar, Banco Sabadell, Ibercaja y Univia
Así es 'Cerberus', el nuevo troyano que ataca a bancos españoles (y puede estar robándote datos)
msc hotline sat
viernes, 20 de septiembre de 2019
La falsa aplicación que roba los datos bancarios de los usuarios. /HISPASEC
La empresa malagueña Hispasec Sistemas detecta un virus de robo de credenciales bancarias que por primera vez afecta a entidades españolas como Santander, BBVA, Bankia, Cajamar, Banco Sabadell, Ibercaja y Univia
El laboratorio de Hispasec Sistemas ha detectado en España una nueva muestra del troyano bancario para Android 'Cerberus', cuyo objetivo es el robo de credenciales bancarias y que afecta a las siguientes entidades bancarias: Santander, BBVA, Bankia, Cajamar, Banco Sabadell, Ibercaja y Univia. Además, también ataca a Santander y BBVA en Perú.
Es la primera vez que 'Cerberus' afecta a entidades bancarias españolas, aunque dada su creciente popularidad este ataque se daba por seguro. Se trata de uno de los troyanos bancarios más recientes, con actividad desde junio de 2019. En pasadas versiones se habían descubierto ataques a entidades francesas y japonesas. Desde Hispasec ya se había previsto que en 2019 se mantendría una tendencia a ataques cada vez más sofisticados y en nuevos formatos, sobre todo desde dispositivos móviles.
«Dadas las capacidades de nuestros móviles y el uso que hacemos de ellos, se ha generado el caldo de cultivo idóneo para este escenario de ataques bancarios vía 'smartphones'», señala Fernando Ramírez, CEO de Hispasec Sistemas, una empresa malagueña de ciberseguridad con veinte años de experiencia.
Según explica Alberto Segura, analista de 'malware' de la citada empresa, «esta familia de 'malware' solicita al usuario que le dé permisos de accesibilidad una vez que instala la aplicación maliciosa y la inicia por primera vez. Estos permisos permiten al virus recibir eventos generados por otras aplicaciones que se encuentren ejecutando en primer plano«.
Dada la distribución del paquete de 'software' malicioso, siguiendo otros esquemas similares analizados, permite sospechar que probablemente se haya podido realizar a través de páginas web fraudulentas. Teniendo en cuenta que la aplicación maliciosa utiliza el logo de 'Flash Player' como icono y su nombre, probablemente se haya distribuido a través de una falsa web de vídeos que incita al usuario a instalar la aplicación como una falsa actualización de su reproductor.
Además del robo de credenciales bancarias, 'Cerberus' incluye una funcionalidad para robar los SMS recibidos en el dispositivo infectado, lo que complementa al robo de credenciales bancarias. Gracias a esta habilidad, los atacantes podrán también obtener los códigos de autorización recibidos en el móvil, pudiendo así autorizar el acceso a la cuenta de la víctima o una transacción realizada por los propios atacantes. 'Cerberus' también puede robar la agenda de contactos del usuario.
Los creadores de 'Cerberus' han vendido el troyano en un foro 'underground' para que sean sus compradores los que, a través de una herramienta automatizada, construyan la 'app' maliciosa que distribuyen a sus víctimas. Este troyano tiene su propia cuenta de Twitter, en la que sus creadores publican las novedades incluidas en las nuevas versiones e incluso bromean con reconocidos analistas de 'malware'.
El uso de permisos de accesibilidad es una característica habitual en el 'malware' bancario para Android, tanto para detectar la aplicación ejecutando en primer plano (y mostrar la inyección) como para dificultar la desinstalación por parte del usuario. Tras obtener los permisos de accesibilidad, el programa comienza la actividad maliciosa. Según explican desde Hispasec, la aplicación instalada realmente actúa a modo de 'dropper', ya que la funcionalidad de robo de datos y envío se realiza a través de un módulo descargado del servidor de control,
Para el robo de credenciales bancarios, 'Cerberus' sigue el mismo esquema de funcionamiento que el resto de troyanos bancarios, inyecciones basadas en 'overlays' (la publicidad que se superpone como una capa superior sobre los vídeos en reproducción). El uso de 'overlays' es probablemente la técnica más efectiva, y quizá por ello la preferida por los atacantes, para el robo de credenciales bancarias en Android.
Como suele ser habitual en el 'malware' bancario para Android, las inyecciones de 'Cerberus' también están realizadas utilizando HTML y JavaScript. De esta forma, lo que descarga el virus no es más que un fichero HTML que mostrará posteriormente utilizando una 'WebView'. Este proceso se realiza rápidamente, por lo que el usuario no se percatará de que no se trata de la aplicación legítima y acabará introduciendo sus credenciales de acceso. Tras esto, las credenciales se envían al servidor de control y se cierra la actividad con la web de 'phishing', quedando en primer plano la aplicación legítima.