Malware bancario

Publicado 22/03/2021

Un malware es un programa malicioso que puede dañar a cualquier tipo de software mediante acciones perjudiciales a un sistema informático de forma intencionada (al contrario que el “software defectuoso”) y sin el conocimiento del usuario (al contrario que el “software potencialmente no deseado”), por lo tanto, el malware bancario es el que está diseñado para robar credenciales y contraseñas bancarias de los usuarios. Pueden ser troyanos que están presentes en equipos de escritorio o dispositivos móviles, por ejemplo. Son softwares maliciosos que de una u otra forma tienen el objetivo de robar nuestras cuentas bancarias.

Es una realidad que hoy en día son muchos los usuarios que utilizan aplicaciones móviles para acceder a la cuenta bancaria, realizar pagos o simplemente para consultar el estado de sus cuentas. Ahora bien, eso lo aprovechan los piratas informáticos y llevan a cabo ataques orientados a ello.

Según un informe realizado por Kaspersky, los ataques con malware bancario han aumentado especialmente a usuarios corporativos. Se están centrando más en empresas y usuarios en el ámbito laboral. Concretamente un 35% de todos los ataques de este tipo han estado dirigidos a usuarios corporativos.

Hasta ahora, las cifras de otros años oscilaban sobre el 24-25% del total, estamos hablando de un aumento significativo.

Gran parte de las familias de malware, tanto bancario como no bancario, han tratado de aprovechar la crisis sanitaria a través de campañas fraudulentas en las que se distribuían sus creaciones como si de aplicaciones de ‘tracking’ del virus se tratasen.

También, se han visto nacer tres nuevas familias de malware bancario para dispositivos Android, mientras que las ya conocidas, como Cerberus y Anubis Bankbot, se han mantenido entre las más populares y activas. En el 2020 surgió BBtok, un malware bancario para ordenador que se trasladó rápidamente a ser también de móvil, además de que se puso de moda el ransomware, que cifra los ficheros de la víctima pidiendo un rescate para devolverlos, también robe dichos ficheros para solicitar a la víctima que pague un extra con el objetivo de evitar que se publique el contenido de dichos ficheros, a esta técnica se le ha denominado doxing. Esta nueva estrategia tiene especial éxito en ataques a empresas, que manejan datos confidenciales de clientes y no quieren que estos datos acaben publicándose en Internet. En definitiva, el 2020 fue el año del malware bancario para Android y del ransomware en escritorio, y en 2021 esta tendencia sigue, ya que el ransomware es el malware que da más beneficios al mismo tiempo que es de los más sencillos de desarrollar. Por eso, aquí te mostramos dos importantes tipos de malware bancario que afectan sistemas operativos como Windows y Android, qué países han afectado y cómo es que funcionan.

1. Mekotio.

Mekotio, también conocido como Pazera, es un troyano bancario que lleva atacando usuarios de entidades bancarias latinoamericanas desde finales de 2016. Comenzó afectando a entidades bancarias chilenas, pero poco a poco fue extendiéndose por América Latina hasta llegar a Europa. Su método de distribución son campañas de SPAM, en las que enviaban correos electrónicos a sus víctimas suplantando a la policía o a alguna otra entidad de renombre. 

De esta forma, se han utilizado como asunto del correo multas sin pagar u otros temas relacionados con pagos y movimientos de dinero, de forma que su víctima descargue y abra sin pensarlo el fichero adjunto que oculta el dropper del banker, normalmente el fichero adjunto suele ser un fichero Excel con macros maliciosas que descargan el troyano, aunque en otras ocasiones, también se han encontrado scripts VBScript para Windows con nombre suficientemente largos para que el usuario no se de cuenta de la extensión que tiene el fichero. La carga maliciosa de este banker se encuentra implementada en una DLL para Windows. Dicha DLL está programada en el lenguaje Dephi, un lenguaje muy popular entre los desarrolladores de malware brasileños.

Pazera utiliza la clásica estrategia de keylogging, que le permite robar las credenciales de sus víctimas cuando éstas acceden a su cuenta bancaria, registrando las pulsaciones de teclas mientras el usuario teclea su clave. Esta técnica es bastante sencilla de implementar si se compara con técnicas más sofisticadas como la inyección de código en el proceso del navegador para interceptar la comunicación con el servidor de la entidad.

Países afectados:

  • Brasil (14 entidades)
  • España (7 entidades)
  • Chile (6 entidades)
  • Perú (2 entidades)
  • Colombia (1 entidad)

 

2. Mispadu.

Otro troyano bancario de origen brasileño, desarrollado en Delphi y con especial interés por entidades bancarias latinoamericanas y españolas, aunque a diferencia de Pazera, éste incluye entidades italianas y portuguesas a su lista de afectados, además, comparte una importante cantidad de características con Pazera, lo que pareciera que podría tratarse de una versión mejorada del mismo, y no de una familia completamente nueva.

Mispadu podría robar las credenciales de sus víctimas utilizando su funcionalidad de robo de contraseñas almacenadas, sin necesidad de que el usuario acceda a la página web de su banco e introduzca sus credenciales y para ciertas entidades se incluyen también inyecciones de phishing que se muestran cuando el servidor de control envía el comando correspondiente. Estas inyecciones parecen estar pensadas principalmente para solicitar los códigos de autorización de segundo factor, que permiten al atacante acceder a la cuenta y realizar transacciones.

Países afectados:

  • Chile (12 entidades)
  • España (11 entidades)
  • Bolivia (9 entidades)
  • Italia (6 entidades)
  • Portugal (9 entidades)
  • México (7 entidades)

2. Cerberus.

Nació, al menos en base a su detección, en verano de 2019, aunque alrededor de un mes antes de las primeras detecciones de muestras afectando a usuarios, este troyano estaba comenzando a venderse en foros underground. En estas primeras detecciones no se encontró afectación en entidades bancarias españolas ni latinoamericanas, sin embargo, unos meses más tarde se comenzaron a ver las primeras muestras que introducían buena parte de las entidades españolas y latinoamericanas más importantes. Sus desarrolladores se han centrado en él haciéndole múltiples mejoras, llegando a publicar lo que se conoce como la versión 2 de Cerberus. Entre esas nuevas mejoras, algunas de las más interesantes fueron la posibilidad de controlar remotamente el dispositivo (funcionalidad de Familias Malware 2020 - 11 RAT) y posibilidad para el robo del patrón de desbloqueo utilizado y los códigos de autenticación de Google Authenticator. Estas nuevas mejoras se unen a las estrategias clásicas implementadas en Cerberus para robar las credenciales de sus víctimas. El robo de credenciales a través de inyecciones web, que se muestran en una WebView tan pronto como se detecta la apertura de la app legítima del banco. Esta metodología permite a los delincuentes robar las credenciales haciendo creer al usuario que es la aplicación legítima la que las solicita para iniciar sesión.

Países afectados:

  • Francia (8 entidades)
  • Alemania (11 entidades)
  • Holanda (2 entidades)
  • Turquía (19 entidades)
  • Polonia (24 entidades)
  • Canadá (4 entidades)
  • Italia (10 entidades)
  • República Checa (1 entidad)
  • Australia (5 entidades)
  • India (5 entidades)
  • Estados Unidos (9 entidades)
  • UK (2 entidades)
  • Israel (1 entidad)
  • España (10 entidades)
  • Chile (5 entidades)
  • Perú (3 entidades)
  • Japón (1 entidad)

 

2. Eventbot.

Este troyano realizó una estrategia de robo de credenciales que no se había visto hasta ese momento, y es que, además de implementar el clásico robo de credenciales a través de inyecciones de phishing (overlays), como gran novedad incluía la posibilidad de registrar los eventos de accesibilidad que se producían en las aplicaciones bancarias afectadas aprovechado los permisos de accesibilidad, abusando de ellos directamente, de forma que los eventos que se producen en aplicaciones bancarias afectadas por el malware son registrados y enviados al servidor de control, especialmente si dichos eventos están relacionados con cambios en campos de texto, ya que posiblemente se trata de los campos de usuario y contraseña del formulario legítimo de acceso. Es posible que este troyano se esté vendiendo en grupos reducidos de cibercriminales, y si no lo está haciendo, es posible que llegue a hacerlo en un futuro.

Países afectados:

  • Australia (2 entidades)
  • Austria (1 entidad)
  • Alemania (5 entidades)
  • España (10 entidades)
  • Francia (8 entidades)
  • Italia (37 entidades)
  • Polonia (1 entidad)
  • Rusia (1 entidad)
  • Turquía (2 entidades)
  • Estados Unidos (11 entidades)

 

 

En definitiva, debemos evitar el malware bancario y, para ello, será fundamental contar con herramientas de seguridad y también estar alertas de cualquier otro tipo de amenaza a nuestra ciberseguridad, por eso conoce el Juice Jacking “la nueva modalidad para el robo de datos”.

 

Tips:

  • Un buen antivirus es algo básico, sin importar el sistema operativo que estemos utilizando.
  • Mantén los sistemas actualizados, son los propios fabricantes y desarrolladores quienes lanzan parches y actualizaciones de seguridad para corregir esos problemas, debemos tener siempre las últimas versiones para disminuir el riesgo.
  • Sentido común, ya que muchos tipos de ataques requieren la interacción del usuario.