Existen muchas familias de malware, y así como de variada es su genealogía también lo son sus objetivos. En este artículo nos vamos a centrar en el malware bancario que como su nombre indica, está enfocado en el sector financiero, un sector con muchos usuarios y donde se concentra uno de los móviles fundamentales de los ciberdelincuentes, el beneficio económico.
Un malware bancario puede infectar tanto ordenadores como teléfonos, por lo que nadie está a salvo. Su distribución y contagio se hace mediante campañas acotadas en el tiempo que tienden a ser personalizadas de acuerdo al país objetivo o a determinados eventos, para maximizar el número de víctimas. El Covid-19 y temas relacionados con este, han sido uno de los ganchos más utilizados desde marzo por los ciberdelincuentes, a fin de cuentas se trata de señuelos que incitan tu interés y en los cuales es difícil no picar.
En el segundo semestre de 2020 los servicios de vigilancia han registrado un incremento exponencial de las campañas de distribución de malware bancario por correo electrónico, suplantando a empresas e inclusive, a algunos ministerios tales como el Ministerio de Sanidad, Consumo y Bienestar Social, el Ministerio de Hacienda y la Agencia Tributaria.
El número de aplicaciones maliciosas camufladas en sitios no oficiales de descarga también ha crecido significativamente. Por ejemplo, es conocido que varios troyanos bancarios se han distribuido de forma extendida como una aplicación falsa de Adobe Flash Player. Incluso algunas aplicaciones infectadas con malware bancario, han logrado pasar los filtros de las tiendas oficiales y ubicarse en plataformas como Google Play Store, en julio de este año fue detectada una aplicación para conversión de monedas que descargaba el troyano bancario Cerberus. En el momento de su retirada contaba con más de 100.000 descargas.
¿Cómo llega el malware a mi dispositivo?
Existen diversas vías de contagio de dispositivos, a continuación enumeraremos las vías más comunes, aunque cada día los ciberdelincuentes encuentran nuevas formas, más sofisticadas e indetectables.
- A partir de enlaces en el correo electrónico o de sms en los que redirigen al usuario a un sitio web en el que para poder ser visualizado correctamente se necesita la instalación de un plugin. La descarga de este supuesto plugin es uno de los métodos más utilizados.
- Mediante correos electrónicos que traen una supuesta factura impagada, un burofax urgente e incluso una multa, escrito con lenguaje urgente e imperativo, que nos exige consultar cuanto antes el adjunto.
- A través de publicidad engañosa en redes sociales en las que supuestamente has ganado un iphone o un viaje a algún paraíso exótico y que posteriormente redirecciona a una web con “sorpresa”.
- Mediante aplicaciones “maliciosas” que han logrado pasar los filtros de seguridad de las tiendas oficiales y aparentan ser legítimas, llegando incluso a ejecutar por un tiempo la funcionalidad prometida para evitar su detección temprana.
¿Qué pasa una vez que se ha descargado el malware bancario?
El malware ha llegado sin ser invitado, no ha sido descargado ni ejecutado de forma consciente, sin embargo ha comenzado un proceso de reconocimiento del dispositivo en el que se encuentra. El malware necesita determinar si es un entorno fiable, se han observado algunos troyanos que activan códigos de autodestrucción si confirman que se encuentran en entornos de análisis sandbox para evitar ser analizados.
Otra de las acciones que realiza es desactivar el software antivirus para evitar ser detectado. Para garantizar persistencia puede ocultar su icono y esconderse como un servicio legítimo del sistema. El malware contacta con su centro de control (en adelante, C&C) y envía determinada información que incluye aunque no se limita a: Tipo/modelo del dispositivo, credenciales obtenidas, aplicaciones instaladas, el C&C por su parte, envía instrucciones para el proceso de robo.
El malware Mekotio realiza el proceso de “inyección” indicando que se va a ejecutar una actualización de seguridad de la aplicación bancaria, esta ventana aparenta ser una funcionalidad legítima del banco, en segundo plano está ejecutando el proceso de “inyección”, finalmente indica que se va a realizar una “transferencia de prueba” y solicita la clave recibida en el sms del doble factor de autenticación. La transferencia se produce a una cuenta mula en un banco diferente al del usuario. Por lo general se observan transferencias con valores de 1.999,99 o 4.999,99 euros, en los casos que la cuenta no disponga de esta cantidad o tenga limitación de transferencia, se ejecutan transferencias con valores más pequeños.
Por su parte, el malware Cerberus detecta cuando se abre una aplicación bancaria y superpone una pantalla con plantillas previamente obtenidas desde su C&C para obtener las credenciales de acceso. Puede leer los sms recibidos, una vez que el banco envía el código de acceso, este lo intercepta y autoriza la transferencia, esto lo hace aún más peligroso, pues puede saltarse la barrera de la doble autenticación, además roba la lista de contactos obteniendo nuevas víctimas para infectar.
¿Cómo protegernos del malware bancario?
- Descarga siempre las aplicaciones desde las tiendas oficiales, revisa previamente la cantidad de usuarios y las opiniones de éstos.
- Otorga los mínimos privilegios de ejecución a las aplicaciones.
- Revisa siempre la aplicación de acceso a las entidades bancarias, ante cualquier cambio de diseño o de funcionamiento consúltalo con tu oficina.
- Mantén actualizados los sistemas.
- Instala herramientas antivirus y antimalware de reconocido prestigio.
- Revisa el correo electrónico antes de ejecutar un adjunto. ¿Conoces al remitente? ¿estás esperando ese correo? Ante la duda contrástalo con el remitente.
- Revisa la extensión de los ficheros, cuidado con los ejecutables y ficheros comprimidos.
- Evita navegar por webs de dudosa reputación.
- Recuerda que tu banco nunca te pedirá la ejecución de una “transferencia de prueba”.
Siguiendo estas recomendaciones lograrás reducir de forma importante el riesgo de que el malware bancario se cuele en tu ordenador o en tu dispositivo móvil. Además de las precauciones que debe tomar el propio usuario, hay que añadir que con al amplio conocimiento de las tendencias del cibercrimen y de la implantación de fuertes herramientas de ciberseguridad en el sector financiero se logra minimizar el impacto del malware bancario y proteger a los clientes de servicios de banca.