Los clientes de tres bancos españoles, en peligro por un virus que ataca teléfonos Android

04/03/2016
Publicat a: El Confidencial

Se esconde en webs de pornografía. Simula ser una actualización de Adobe Flash que hay que instalar para ver el video deseado. Pero, en realidad, es un virus, un troyano bancario que afecta a teléfonos Android y cuyo objetivo son los clientes de BBVA, Banco Santander y Ruralvía. No hay cifras oficiales de afectados pero ya se han detectado 150 muestras. Toda precaución es poca.

Un troyano bancario es un virus que entra en nuestro ordenador o teléfono y espera en silencio, hasta que nos conectamos a nuestra banca en línea. Entonces roba las contraseñas que tecleamos y las manda a los criminales, que con esta información vaciarán nuestra cuenta. Hay muchos troyanos bancarios que atacan ordenadores y, cada vez más, teléfonos Android. Uno de ellos es Slembunk, descubierto el año pasado.

Hasta hace pocos días, Slembunk era un troyano más que atacaba bancos australianos o alemanes. Con la diferencia que, mientras otros virus han sido creados expresamente por un grupo criminal que los usa en exclusiva, Slembunk es un kit para crear troyanos, a la venta en el mercado negro. Cualquier delincuente puede comprarlo por 500 euros, crear su propio virus y hacerle atacar los bancos que quiera. Algo decididamente peligroso.

Antonio Sánchez, de Koodous, así como otros investigadores en todo el mundo llevan meses monitorizando la actividad de este virus. Hasta que, a finales de febrero, Sánchez descubrió una variante de Slembunk nunca vista hasta ahora, dirigida contra los clientes de los bancos españoles BBVA, Banco Santander y Ruralvía http://unaaldia.hispasec.com/2016/02/slembunk-tambien-ataca-bancos-espanoles.html.

"Estos ejemplares estaban en páginas web (principalmente pornográficas) que te hacían creer que para reproducir un vídeo necesitabas actualizar el reproductor de Flash, esa era la excusa para invitar al usuario a instalar el malware en su dispositivo", explica Antonio.

Cuando el troyano se ha instalado en el teléfono, espera hasta que presionamos el icono para abrir la app de nuestro banco. Entonces se abre una ventana, pero no es la real sinó una copia exacta. El troyano copiará las credenciales que escribamos allí y las mandará a los "malos". Después, se abrirá la aplicación auténtica, para que no sospechemos. Así, pensaremos que nos pide de nuevo las credenciales porque antes nos habíamos equivocado.

Con los datos robados, los malos entrarán en nuestra cuenta bancaria y ordenarán una transferencia. La mayoría de bancos tienen un sistema de doble autenticación, lo que significa que además de introducir nuestras credenciales tenemos que darles un PIN que se nos manda a nuestro teléfono móvil, por SMS. Pero ahí está el troyano infiltrado en nuestro teléfono, esperando a que llegue este SMS para reenviarlo a los malos y esconderlo a los ojos del propietario del teléfono.

"Hasta la fecha no conocíamos ningún troyano con soporte para bancos españoles integrado en un kit a gran escala, que cualquiera puede comprar en el mercado negro y empezar a robar a estas entidades", explica Antonio Sánchez. No existen cifras de víctimas porque, según Fernando Ramírez, también de Koodous, "este tipo de datos las empresas afectadas los guardan con mucho recelo". En Koodous no han detectado ninguna infección en móviles españoles pero, asegura Ramírez, "esto no quiere decir que no vaya a ocurrir, en breve empezaremos a ver las primeras".

El equipo de respuesta a incidentes (CERT) del BBVA ratifica: "No hemos detectado aún ningún caso relacionado con esta familia de malware que haya afectado a nuestros clientes", aunque admiten estar siguiendo "la evolución de esta amenaza". Para defenderse de casos como este, explican que monitorizan y correlan "toda la información de conexiones a nuestros sistemas, para detectar patrones y anomalías que permitan a nuestros analistas detectar conexiones maliciosas y bloquearlas".

El CERT del BBVA recomienda a sus clientes que "descarguen siempre las aplicaciones de los "markets" oficiales, no sólo las de banca móvil, ya que en amenazas como esta el malware no se esconde en una aplicación que simule ser del banco, sinó en una utilidad de software genérica que permite ver vídeos en formato Flash".

Desde Koodous, Antonio Sánchez ha detectado ya más de 150 muestras de Slembunk que proceden de distintas páginas web. Según investigadores de IBM, los creadores de este virus serían rusos https://securityintelligence.com/android-malware-about-to-get-worse-gm-bot-source-code-leaked/ pero poco se sabe de quiénes son los clientes que han comprado el kit en el mercado negro, ni de sus intenciones.

La buena noticia es que a día de hoy gran parte de la infraestructura que usa el troyano está caída. Pero no significa demasiado, si tenemos en cuenta cómo funciona este negocio, explica Antonio: "Quien compra el kit debe buscar dónde alojar los datos que recopila, por lo tanto contrata un hosting y ya tiene un servidor donde guardarlos. Después genera el troyano, usando el kit y la infraestructura que ha contratado, y lo reparte por "markets" alternativos, publicidad fraudulenta, redes sociales".

Cuando ya ha infectado a muchas personas, el delincuente recoge los "beneficios" -las credenciales bancarias robadas por el troyano- en el servidor que había contratado. A partir de entonces este servidor está "quemado", es fácil que sea denunciado por las víctimas y debe abandonarse. Todo volverá a empezar con la creación de una nueva muestra, contratar un nuevo hosting, etc. "Hace un rato hemos podido localizar uno que lleva 3 días activo, lo que quiere decir que todavía hay gente utilizándolo", explica Sánchez. En pocos días estará "quemado" y vuelta al principio.

Tanto en el BBVA como en Koodous están observando con atención a este troyano desde que se conoció públicamente su existencia en diciembre, a través de la empresa FireEye. Pero, según Fernando Ramírez, el virus "lleva circulando en Internet desde al menos el 17 de septiembre de 2015". Lo sabe gracias a Koodous, un proyecto dos en uno: antivirus y base de datos de código malicioso para Android, hecho en Málaga y funcionando desde julio de 2015 http://unaaldia.hispasec.com/2015/07/koodous-inteligencia-colectiva-para.html.

Koodous https://koodous.com/ es el hermano pequeño de VirusTotal https://www.virustotal.com/. Ambos nacieron de la misma empresa malagueña, Hispasec http://www.hispasec.com. Google compró VirusTotal en 2012, cuando se había convertido en referente mundial para los investigadores de virus. Cualquiera puede mandar un archivo sospechoso a VirusTotal: los motores de los principales antivirus lo analizarán y dirán si tiene "bicho" o no. Es un servicio gratuito.

Koodous funciona de forma parecida, pero sólo para código malicioso en Android: por una parte, monitorizan las redes buscando aplicaciones Android y las analizan. Por otra, Koodous es un antivirus gratuito para Android que puede descargarse como una app más, del Market oficial de Google. Quien la instale en su móvil puede configurarla, si quiere, para que mande a Koodous los virus que detecte, retroalimentando el servicio y mejorando la efectividad del antivirus.

Cabe aclarar que Slembunk no ataca sólo a bancos. Las redes sociales son también su terreno de juego, como WhatsApp o Facebook. Explica Antonio: "Cuando abres tu WhatsApp te solicita datos de tu tarjeta de crédito porque, supuestamente, el WhatsApp ha caducado". Y es que tener un teléfono Android es cada vez más una experiencia de riesgo, en la que ya es imprescindible usar programas de defensa.



Mercè Molist