Era cuestión de tiempo y, lamentablemente, ya está aquí: el primer virus que cifra fotos, música y vídeos de nuestros teléfonos Android, para pedirnos un rescate. Desde Rusia, con amor, llega escondido dentro de un veterano troyano bancario presente en medio mundo pero, de momento, no visto en España. Eso sí: entre las decenas de miles de entidades bancarias que ataca, están también BBVA, Santander, Citibank, Sabadell e Ibercaja.

Si una predicción está clara para 2017 es que los cibercriminales son cada vez más y todos quieren sacar tajada. "Van a conseguir dinero por las buenas o por las malas", asegura Fernando Díaz, analista de malware en Hispasec. Lo demuestra el caso de FakeToken, un virus que desde 2012 roba información financiera de teléfonos Android y ahora funciona también como ransomware.

FakeToken es lo que se llama un "troyano bancario": muestra a sus víctimas pantallas falsas de sus entidades bancarias, para robar los números de cuenta, de tarjeta y las contraseñas que introduzcan en ellas. Asimismo, roba las contraseñas que el banco manda por SMS para autenticar las transacciones. Todo muy "normal", dentro del cánon de cómo funciona un troyano bancario.

Pero, en julio de 2016, analistas de Kaspersky Labs vieron que FakeToken hacía cosas "raras" (https://securelist.com/blog/research/76913/the-banker-that-encrypted-files/). Los autores del virus, probablemente rusos, habían añadido nuevas líneas en su código que lo dotaban de una funcionalidad nunca vista en el malware para móviles: la posibilidad de cifrar fotos, música, vídeos y documentos del teléfono de la víctima y pedirle un rescate.

Cabe destacar que FakeToken no es un virus cualquiera. Según Sergio de los Santos, director del área de innovación y laboratorio de ElevenPaths, "es uno importante dentro de la categoría de troyanos bancarios". Tiene capacidad para atacar en 77 idiomas diferentes y hacerse pasar por más de 2.000 aplicaciones móviles bancarias de todo el mundo. "Echando un vistazo muy por encima, BBVA (las distintas apps que tienen), Santander, Citibank, Sabadell, Ibercaja...", afirma Fernando Díaz.

Por suerte para los bancos españoles, según informa Kaspersky a "El Confidencial", es inapreciable la presencia de FakeToken en España. Personal de servicios de ciberseguridad de los bancos afectados asegura que no han dado importancia a esta alerta porque no se han detectado muestras aquí. De todas formas, esto podría cambiar en cuestión de horas si una app popular en España empezase a infectar con Faketoken.

Por el momento, se está distribuyendo mayoritariamente en países del este de Europa, escondido tras "aplicaciones falsas que suplantan al navegador Yandex (el Google Ruso) y a Flash Player", explica Díaz. Desde julio de 2016, cuando se le añadieron funcionalidades de ransowmare, habría infectado a más de 16.000 personas en 27 países, siendo los más afectados Rusia, Ucrania, Alemania y Tailandia.

En cuanto a España, los únicos interesados en este troyano-ransomware son los investigadores, quienes lo ven como una muestra de la avidez de los ciberdelincuentes para, dice Díaz, "conseguir dinero de una u otra manera, en caso de no lograr robar los datos bancarios, el atacante podría activar la función de cifrado para conseguir que la víctima pagase una cantidad".

Hasta ahora, explica De los Santos, se habían visto "troyanos bancarios que te bloquean la pantalla para entretenerte mientras usan los datos robados e, incluso, te dicen que te han cifrado los archivos, pero es mentira". Faketoken es el primero que sí puede cifrar archivos porque lo lleva escrito en su código. Ahora bien, desdramatiza De los Santos: "Es una funcionalidad potencial, el teléfono hará lo que le diga un comando exterior que viene del atacante y puede ser lanzado o no".

Ha dado también qué hablar el cifrado que usa el ransomware de FakeToken. La mayoría de estos virus combinan AES (Algoritmo simétrico de cifrado), que cifra los archivos con una clave aleatoria, y RSA, que cifra esta clave. FakeToken utiliza sólo AES. Según Díaz, "puede existir la posibilidad de que el atacante proteja mal sus claves o haga una implementación incorrecta del algoritmo de cifrado". Al usar sólo AES esto podría permitir a un experto descubrir la clave de descifrado.

Se cifre como se cifre, estamos ante un nuevo paso en la evolución del malware para móviles. Una evolución que, por otra parte, no sorprende pues ha ido a remolque del camino seguido en los ordenadores: los primeros ransomware para ordenadores aparecieron en 2010 y sólo bloqueaban la pantalla, al estilo del "virus de la Policía". Tres años después, empezaron a cifrar los archivos del ordenador.

En el mundo móvil, el ransomware que bloquea la pantalla no apareció hasta 2014 y pronto se combinó con los troyanos bancarios. La aparición de un ransowmare que, además, cifrase archivos era cuestión de tiempo. Si ha tardado ha sido, según los analistas, porque en el teléfono es habitual tener copias de seguridad en la nube, lo que hace inefectivo pedir rescate por una información de la que tenemos "backup".

De todas formas, Díaz llama a no confiarse y recuerda que "muchos no guardan copias de archivos en la nube". Las recomendaciones para no infectarse con FakeToken son las mismas que para cualquier malware para móviles, explica Díaz: "Mantener los dispositivos actualizados es un "must". Instalar aplicaciones únicamente desde el market oficial y mantener backups de los datos". De gran ayuda es el antivirus gratuito para Android Koodous (https://koodous.com/), hecho desde España por gente como Fernando, con el respaldo de la comunidad internacional.

Mercè Molist