Volver
malware-bancario malware-bancario

¿Cómo nos ataca el malware bancario?

Dinella Aguilera González

Analista de Ciberseguridad

Sobre mi

Ingeniera informática. Diplomada en Seguridad de Redes y Servicios. Analista de ciberseguridad. Actualmente trabajando en el área de ciberseguridad en el sector financiero.

EL MALWARE BANCARIO LLEGA SIN AVISAR, PUEDE INFECTAR ORDENADORES Y TELÉFONOS Y BUSCA ROBAR LAS CLAVES BANCARIAS DE LOS USUARIOS PARA OBTENER UN BENEFICIO ECONÓMICO. CONOCER CÓMO FUNCIONA ES CONOCER CÓMO COMBATIRLO

30 Nov 2020

6 Min de lectura

Existen muchas familias de malware,  y así como de variada es su genealogía también lo son sus objetivos.  En este artículo nos vamos a centrar en el malware bancario que como su nombre indica, está enfocado en el sector financiero, un sector con muchos usuarios y donde se concentra uno de los móviles fundamentales de los ciberdelincuentes, el beneficio económico.

 

Un malware bancario puede infectar tanto ordenadores como teléfonos, por lo que nadie está a salvo. Su distribución y contagio se hace mediante campañas acotadas en el tiempo que tienden a ser personalizadas de acuerdo al país objetivo o a determinados eventos,  para maximizar el número de víctimas. El Covid-19 y temas relacionados con este, han sido uno de los ganchos más utilizados desde marzo por los ciberdelincuentes, a fin de cuentas se trata de señuelos que incitan tu interés y en los cuales es difícil no picar.

 

En el segundo semestre de 2020 los servicios de vigilancia han registrado un incremento exponencial de las campañas de distribución de malware bancario por correo electrónico, suplantando a empresas e inclusive, a algunos ministerios tales como el Ministerio de Sanidad, Consumo y Bienestar Social, el Ministerio de Hacienda y la Agencia Tributaria.

 

El número de aplicaciones maliciosas camufladas en sitios no oficiales de descarga también ha crecido significativamente.  Por ejemplo, es conocido que varios troyanos bancarios se han distribuido de forma extendida como una aplicación falsa de Adobe Flash Player. Incluso algunas aplicaciones infectadas con malware bancario, han logrado pasar los filtros de las tiendas oficiales y ubicarse en plataformas como Google Play Store, en julio de este año fue detectada una aplicación para conversión de monedas que descargaba el troyano bancario Cerberus. En el momento de su retirada contaba con más de 100.000 descargas.

 

¿Cómo llega el malware a mi dispositivo?  

 

Existen diversas vías de contagio de dispositivos, a continuación enumeraremos las vías más comunes, aunque cada día los ciberdelincuentes  encuentran nuevas formas, más sofisticadas e indetectables.

  • A partir de enlaces en el correo electrónico o de sms en los que redirigen al usuario a un sitio web en el que para poder ser visualizado correctamente se necesita la instalación de un plugin. La descarga de este supuesto plugin es uno de los métodos más utilizados.
  • Mediante correos electrónicos que traen una supuesta factura impagada, un burofax urgente e incluso una multa, escrito con lenguaje urgente e imperativo, que nos exige consultar cuanto antes el adjunto.
  • A través de publicidad engañosa en redes sociales en las que supuestamente has ganado un iphone o un viaje a algún paraíso exótico y que posteriormente redirecciona a una web con “sorpresa”.
  • Mediante aplicaciones “maliciosas” que han logrado pasar los filtros de seguridad de las tiendas oficiales y aparentan ser legítimas, llegando incluso a ejecutar por un tiempo la funcionalidad prometida para evitar su detección temprana.

 

¿Qué pasa una vez que se ha descargado el malware bancario?

 

El malware ha llegado sin ser invitado, no ha sido descargado ni ejecutado de forma consciente, sin embargo ha comenzado un proceso de reconocimiento del dispositivo en el que se encuentra. El malware necesita determinar si es un entorno fiable, se han observado algunos troyanos que activan códigos de autodestrucción si confirman que se encuentran en entornos de análisis sandbox para evitar ser analizados.

 

Otra de las acciones que realiza es desactivar el software antivirus para evitar ser detectado. Para garantizar persistencia puede ocultar su icono y esconderse como un servicio legítimo del sistema. El malware contacta con su centro de control (en adelante, C&C) y envía determinada información que incluye aunque no se limita a: Tipo/modelo del dispositivo, credenciales obtenidas, aplicaciones instaladas, el C&C por su parte, envía instrucciones para el proceso de robo.

 

El malware Mekotio realiza el proceso de “inyección” indicando que se va a ejecutar una actualización de seguridad de la aplicación bancaria, esta ventana aparenta ser una funcionalidad legítima del banco, en segundo plano está ejecutando el proceso de “inyección”, finalmente indica que se va a realizar una “transferencia de prueba” y solicita la clave recibida en el sms del doble factor de autenticación. La transferencia se produce a una cuenta mula en un banco diferente al del usuario. Por lo general se observan transferencias con valores de 1.999,99 o 4.999,99 euros, en los casos que la cuenta no disponga de esta cantidad o tenga limitación de transferencia, se ejecutan transferencias con valores más pequeños.

 

Por su parte, el malware Cerberus detecta cuando se abre una aplicación bancaria y superpone una pantalla con plantillas previamente obtenidas desde su C&C para obtener las credenciales de acceso. Puede leer los sms recibidos,  una vez que el banco envía el código de acceso, este lo intercepta y autoriza la transferencia, esto lo hace aún más peligroso, pues puede saltarse la barrera de la doble autenticación, además roba la lista de contactos obteniendo nuevas víctimas para infectar.

 

¿Cómo protegernos del malware bancario?

  1. Descarga siempre las aplicaciones desde las tiendas oficiales, revisa previamente la cantidad de usuarios y las opiniones de éstos.
  2. Otorga los mínimos privilegios de ejecución  a las aplicaciones.
  3. Revisa siempre la aplicación de acceso a las entidades bancarias, ante cualquier cambio de diseño  o de funcionamiento consúltalo con tu oficina.
  4. Mantén actualizados los sistemas.
  5. Instala  herramientas antivirus y antimalware de reconocido prestigio.
  6. Revisa el correo electrónico antes de ejecutar un adjunto. ¿Conoces al remitente? ¿estás esperando ese correo? Ante la duda contrástalo con el remitente.
  7. Revisa la extensión de los ficheros, cuidado con los ejecutables y ficheros comprimidos.
  8. Evita navegar por webs de dudosa reputación.
  9. Recuerda que tu banco nunca te pedirá la ejecución de una “transferencia de prueba”.

 

Siguiendo estas recomendaciones lograrás reducir de forma importante el riesgo de que el malware bancario se cuele en tu ordenador o en tu dispositivo móvil. Además de las precauciones que debe tomar el propio usuario, hay que añadir que con al amplio conocimiento de las tendencias del cibercrimen y de la implantación de fuertes herramientas de ciberseguridad en el sector financiero se logra minimizar el impacto del malware bancario y proteger a los clientes de servicios de banca. 

Artículos relacionados
¿Cómo combate tu banco a los ciberdelincuentes?

¿Cómo combate tu banco a los ciberdelincuentes?

La efectividad un ataque sobre una entidad bancaria tendría un impacto económico considerable, por lo que implantar medidas de protección y de prevención frente a la ciberdelincuencia es una prioridad

Leer más
¿Malware en el móvil? En el mío no

¿Malware en el móvil? En el mío no

El smartphone es el activo tecnológico preferido por los usuarios. Los ciberdelincuentes han incrementado su interés en ellos y son objetivo directo de ataque de malware. Así que no descuides la ciberseguridad en tu teléfono móvil

Leer más
Escuchando

Para Unicaja Banco S.A., titular de la página web, es importante  adaptarse a tus gustos y preferencias, para ello usamos cookies propias y de terceros, que recaban datos de conexión que pueden vincularse con tu usuario de registro y cuya finalidad es medir el volumen y la interacción de los usuarios en la página web, ayudar a mejorar el funcionamiento y los contenidos web, así como los servicios y productos ofrecidos elaborando perfiles de comportamiento, cuidando siempre de tu privacidad. Puedes elegir de manera  transparente la configuración que mejor se adapte a ti, sin que ello suponga ningún cambio en tu operatividad habitual.   

(solo te llevará unos minutos)