BankBot el troyano para los bancos

BankBot el troyano para los bancos
Las entidades atacadas estaban codificadas dentro de la propia aplicación de Android.

Este particular troyano es muy conocido debido a sus poderosas funciones tales como la capacidad para enviar, leer y eliminar mensajes de texto.

Easy Solutions advierte que BankBot está de vuelta. BankBot es un troyano muy sencillo pero realmente malicioso dirigido a dispositivos Android, el cual hizo su primera aparición en 2016. Ahora está de regreso y más fuerte que nunca.

Este particular troyano es muy conocido debido a sus poderosas funciones tales como la capacidad para enviar, leer y eliminar mensajes de texto al igual que suprimir el sonido y la vibración del móvil. Lo más preocupante es su habilidad de inyectar contenido web fraudulento, el cual modifica aplicaciones bancarias originales y sin mayor sospecha roba la información privada de los usuarios. Y eso no es todo: también es compatible con versiones de Android hasta 6.0 Marshmallow”, comentó Felipe Duarte, analista de malware de Easy Solutions.

A pesar de que esta amenaza no es algo nuevo (su código fuente se filtró en diciembre de 2016), está siendo noticia recientemente debido a una enorme campaña de malware detectada en una aplicación que está disponible en la tienda oficial de Android, Google Play. Este ataque reveló que más de 420 bancos alrededor del mundo habían sido afectados por las maliciosas inyecciones web de BankBot.

La aplicación maliciosa “funny videos 2017” prometía a los usuarios contenidos graciosos después de ser instalada. Sin embargo, su nefasta naturaleza salió a la luz cuando los usuarios le otorgaron permisos de administrador sobre sus dispositivos y desde entonces nada fue gracioso.

Aunque ya no está en Google Play, dos importantes lecciones que aprender quedaron de esta amenaza: la primera es la enorme fuerza que adquiere un ataque después de que su código fuente es compartido, y la segunda es el riesgo al que se expone la gente que usa tiendas no oficiales de Android.

El poder del código abierto

Como sucede en casi todo, a la hora de desarrollar software, dos cabezas piensan mejor que una. También es bien sabido que familias de malware como Zeus obtuvieron más atención después de que sus códigos fuente fueron filtrados provocando que aparecieran nuevas y más sofisticadas versiones de este malware.

Esta democratización del malware ya ha sido explicada por nuestro equipo en un anterior blog y, tal como lo demuestra BankBot, esta particular tendencia continúa siendo una de las mejores estrategias para mejorar troyanos.

En el caso de BankBot, el código fue filtrado en 2016 y demostró ser muy sencillo y eficiente a la vez. No tenía ninguna ofuscación; solamente creaba un bot después de compilar su código (tampoco había inyección dentro de otra aplicación). “Inclusive, su autor diseñó “cuidadosamente” todos los pasos necesarios para crear el ataque, haciendo muy fácil que casi cualquier persona entienda lo que hace y cómo lo hace”, destacó Duarte.

Un aspecto notable de este malware es que las entidades atacadas estaban codificadas dentro de la propia aplicación de Android. Esto dificulta la labor de los defraudadores ya que si quieren atacar otras entidades no incluidas en el código deben crear o lanzar una nueva aplicación.

Con toda su recursividad, este problema ya ha sido abordado por la comunidad de malware. Las más recientes muestras de este ataque muestran cómo los cibercriminales lograron automatizar la lista de entidades a atacar, permitiendo que los defraudadores lanzaran el ataque y actualizaran tal lista tan solo con cambiar una lista en el servidor C2.

Además, los atacantes dificultaron más el proceso de invertir la ingeniería de estas muestras al agregarles un nivel de ofuscación. Incluso han llegado a insertar esta maliciosa carga dentro de una aplicación diferente y subirla en Google Play, reduciendo así las tasas de detección de los antivirus y aumentando la confianza de los usuarios que puedan estar pensando en instalar esta terrible creación.

Todas estas acciones crean un bot completamente nuevo que claramente muestra cómo los esfuerzos de la comunidad transforman un sencillo y muy “educativo” fragmento de código en un peligro real para los usuarios de Android.

Tiendas no oficiales de Android

El riesgo no termina ahí. Actualmente, en muchas tiendas no oficiales de aplicaciones se puede descargar la aplicación, lo cual quiere decir que cualquier usuario incauto puede caer en este engaño.

Si buscas en Google “cómo hacer root en mi Android”, encontrarás aproximadamente 17 millones de resultados. Este es un gran número y una infinidad de personas tienen sus dispositivos alterados y descargan aplicaciones de tiendas no oficiales cada día. ¿Qué significa esto? Simplemente que al aventurarse fuera de Google Play, los usuarios finales se ponen en riesgo.

Los expertos de Easy Solutions recomiendan:

  1. Monitorea todas las tiendas de aplicaciones, tanto oficiales como de terceros. Como hemos visto, las aplicaciones maliciosas se pueden esconder detrás de asociaciones de marcas incluso en tiendas legítimas.
  2. Determina si los dispositivos en que tu aplicación es instalada están en riesgo y toma medidas para garantizar un entorno seguro para tu aplicación.
  3. Implementa autenticación multifactorial como parte de tu aplicación móvil. El SDK de autenticación se integra directamente en su aplicación y crea una huella digital basada en hardware de los dispositivos de los usuarios. Cada solicitud de inicio de sesión es analizada para confirmar la identidad del cliente.
  4. Despliega protección multinivel contra el fraude electrónico. Ten en cuenta una solución como la suite de protección contra fraude en aplicaciones móviles que reforzará tu aplicación con autoprotección, autenticación y desactivación de aplicaciones falsas junto con una visión completa de los riesgos que afectan los dispositivos de sus clientes y detallados reportes de seguridad.

Ultimas Noticias

Dejar su comentario sobre esta nota

Su direccion de correo no se publica. Los datos obligatorios se encuentran identificados con un asterisco (*)