Peligro para clientes de bancos españoles por un ‘ransomware’ en móviles Android

Share this…

Investigadores han detectado por primera vez ‘malware’ bancario que cifra el contenido de tu móvil para luego pedir un rescate. Afecta a las ‘apps’ de varios grandes bancos en España.

Era cuestión de tiempo y, lamentablemente, ya está aquí: el primer virus que cifra fotos, música y vídeos de nuestros teléfonos Android, para pedirnos un rescate. Es decir, ‘ransomware’ avanzado en el móvil. Desde Rusia llega escondido dentro de un veterano troyano bancario presente en medio mundo pero, de momento, no visto en España. Entre las decenas de miles de entidades bancarias que ataca, están el BBVA, Banco Santander, Sabadell o Ibercaja.

FakeToken es lo que se llama un “troyano bancario”: muestra a sus víctimas pantallas falsas de sus entidades bancarias, para robar los números de cuenta, de tarjeta y las contraseñas que introduzcan en ellas. Asimismo, roba las contraseñas que el banco manda por SMS para autenticar las transacciones. Todo muy ‘normal’ dentro del cánon de cómo funciona un troyano bancario.

Pero, en julio de 2016, analistas de Kaspersky Labs vieron que FakeToken comenzaba a hacer cosas “raras”. Los autores del virus (rusos, según todos los indicios), habían añadido nuevas líneas en su código que lo dotaban de una funcionalidad nunca vista en el ‘malware’ para móviles: la posibilidad de cifrar fotos, música, vídeos y documentos del teléfono de la víctima y pedirle un rescate.

¿Cómo ataca?

FakeToken no es un virus cualquiera. Según Sergio de los Santos, director del área de innovación y laboratorio de ElevenPaths, “es uno importante dentro de la categoría de troyanos bancarios”. Tiene capacidad para atacar en 77 idiomas diferentes y hacerse pasar por más de 2.000 aplicaciones móviles bancarias de todo el mundo. También en España. “Analizando los archivos de configuración del Troyano, hemos podido confirmar que las aplicaciones de bancos como el BBVA, Santander, Sabadell e Ibercaja son vulnerables. El nombre de sus paquetes de ‘software’ aparece en los archivos del troyano, de forma que un usuario infectado, al abrir su ‘app’ del banco, podría en realidad estar introduciendo sus datos en una app maliciosa que se los robaría”, explica Fernando Díaz.

(Foto: Reuters)
(Foto: Reuters)

Por suerte para los bancos españoles, según informa Kaspersky a Teknautas, de momento la incidencia de FakeToken en España es casi inapreciable. Se está distribuyendo mayoritariamente en países del este de Europa, escondido tras “aplicaciones falsas que suplantan al navegador Yandex (el Google Ruso) y a Flash Player”, explica Díaz. Desde julio de 2016, cuando se le añadieron funcionalidades de ‘ransowmare’, habría infectado a más de 16.000 personas en 27 países, siendo los más afectados Rusia, Ucrania, Alemania y Tailandia.

Personal consultado en los servicios de ciberseguridad de los bancos afectados asegura que de momento no han dado importancia a esta alerta porque no se han detectado muestras aquí. Sin embargo, esta situación podría cambiar en cuestión de horas si una ‘app’ popular en España fuera infectada con FakeToken.

Por ahora los más interesados en este ‘troyano-ransomware’ en nuestro país son los investigadores, quienes lo ven como una muestra de la avidez de los ciberdelincuentes para, dice Díaz, “conseguir dinero de una u otra manera, en caso de no lograr robar los datos bancarios, el atacante podría activar la función de cifrado para conseguir que la víctima pagase una cantidad”.

Hasta ahora, explica De los Santos, se habían visto “troyanos bancarios que te bloquean la pantalla para entretenerte mientras usan los datos robados e, incluso, te dicen que te han cifrado los archivos, pero es mentira”. FakeToken es el primero que sí puede cifrar archivos porque lo lleva escrito en su código. Ahora bien, desdramatiza De los Santos: “Es una funcionalidad potencial, el teléfono hará lo que le diga un comando exterior que viene del atacante y puede ser lanzado o no”.

Ha dado también que hablar el cifrado que usa el ‘ransomware’ de FakeToken. La mayoría de estos virus combinan AES (algoritmo simétrico de cifrado, en sus siglas en inglés), que cifra los archivos con una clave aleatoria, y RSA, que cifra esta clave. FakeToken utiliza solo AES. Según Díaz, “puede existir la posibilidad de que el atacante proteja mal sus claves o haga una implementación incorrecta del algoritmo de cifrado”. Al usar solo AES esto podría permitir a un experto descubrir la clave de descifrado.

Se cifre como se cifre, estamos ante un nuevo paso en la evolución del ‘malware’ para móviles. Una evolución que, por otra parte, no sorprende pues ha ido a remolque del camino seguido en los ordenadores: los primeros ‘ransomware’ para ordenadores aparecieron en 2010 y solo bloqueaban la pantalla, al estilo del ‘virus de la Policía’. Tres años después, empezaron a cifrar los archivos del ordenador.

¿Qué hacer para no ‘picar’?

En el mundo móvil, el ‘ransomware’ que bloquea la pantalla no apareció hasta 2014 y pronto se combinó con los troyanos bancarios. La aparición de una nueva modalidad que, además, cifrase archivos era cuestión de tiempo. Si ha tardado ha sido, según los analistas, porque en el teléfono es habitual tener copias de seguridad en la nube, lo que hace inefectivo pedir rescate por una información de la que tenemos ‘backup’.

(Foto: Corbis)

(Foto: Corbis)

De todas formas, Díaz llama a no confiarse y recuerda que “muchos no guardan copias de archivos en la nube”. Las recomendaciones para no infectarse con FakeToken son las mismas que para cualquier ‘malware’ para móviles, explica Díaz: “Mantener los dispositivos actualizados es un “must”. Instalar aplicaciones únicamente desde las tiendas de aplicaciones oficiales y mantener ‘backups’ de los datos”. Si quieres ir un paso más allá, de gran ayuda es el antivirus gratuito para Android Koodous, hecho desde España por gente como Fernando, con el respaldo de la comunidad internacional.

Fuente:https://www.elconfidencial.com/