Firma de seguridad advierte de malware robando datos bancarios enviados por SMS

Las aplicaciones fueron creadas por una pandilla que usa una variante del malware bancario Carberp para apuntar a los clientes de varios bancos rusos, Denis Maslennikov, analista senior de malware en Kaspersky, dijo el viernes en una publicación de blog.

Muchos bancos usan mTANs como mecanismo de seguridad para evitar que los ciberdelincuentes transfieran dinero de cuentas bancarias en línea comprometidas ts. Cuando se inicia una transacción desde una cuenta de banca en línea, el banco envía un código único llamado mTAN por SMS al número de teléfono del propietario de la cuenta. El titular de la cuenta debe ingresar ese código nuevamente en el sitio web de banca en línea para que se autorice la transacción.

[Más información: Cómo eliminar el malware de su PC con Windows]

Para vencer este tipo de defensa Los ciberdelincuentes crearon aplicaciones móviles maliciosas que ocultan automáticamente los mensajes SMS recibidos de los números asociados a los bancos seleccionados y los suben silenciosamente a sus servidores. Las víctimas son engañadas para que descarguen e instalen estas aplicaciones en sus teléfonos mediante mensajes falsos que se muestran al visitar el sitio web de su banco desde una computadora infectada.

Las aplicaciones de robo de SMS se usaron previamente junto con los programas troyanos bancarios Zeus y SpyEye. -in-the-Mobile (ZitMo) y SpyEye-in-the-Mobile (SpitMo) componentes. Sin embargo, esta es la primera vez que se encuentra un componente móvil deshonesto diseñado específicamente para el malware Carberp, dijo Maslennikov.

A diferencia de Zeus y SpyEye, el programa troyano Carberp se usa principalmente para clientes de banca en línea de Rusia y otros países rusos. países que hablan como Ucrania, Bielorrusia o Kazajstán.

Troyanos usurpados por otras pandillas

Según un informe del vendedor de antivirus ESET en julio, las autoridades rusas arrestaron a la gente detrás de las tres operaciones más grandes de Carberp. Sin embargo, el malware continúa siendo utilizado por otras pandillas y se vende en el mercado clandestino por precios que oscilan entre los US $ 5,000 y los US $ 40,000, según la versión y sus características.

"Esta es la primera vez que vemos dispositivos móviles maliciosos componentes de una pandilla Carberp ", dijo el viernes por correo electrónico Aleksandr Matrosov, investigador senior de malware del proveedor de antivirus ESET. "Los componentes móviles son utilizados solo por un grupo de Carberp, pero no podemos revelar más detalles en el presente".

Las nuevas aplicaciones Carberp-in-the-Mobile (CitMo) encontradas en Google Play se disfrazaron como aplicaciones móviles de Sberbank. y Alfa-Bank, dos de los bancos más grandes de Rusia, y VKontakte, el servicio de redes sociales en línea más popular en Rusia, dijo Maslennikov. Kaspersky se contactó con Google el miércoles y todas las variantes de CitMo fueron eliminadas del mercado el jueves, dijo.

Sin embargo, el hecho de que los ciberdelincuentes lograron subir estas aplicaciones a Google Play plantea dudas sobre la eficiencia del mercado de las aplicaciones. defensas antimalware, como el escáner antimalware Bouncer anunciado por Google a principios de este año.

"Parece que no es tan difícil pasar por alto las defensas de Google Play porque el malware continúa apareciendo allí regularmente", dijo Maslennikov por correo electrónico.

Bogdan Botezatu, un analista senior de e-threat del vendedor de antivirus Bitdefender, cree que podría ser difícil para Bouncer de Google detectar los componentes ZitMo, SpitMo o CitMo porque son funcionalmente similares a algunas aplicaciones legítimas.

"El móvil la versión del troyano solo es responsable de secuestrar los SMS recibidos y reenviar sus contenidos a un destinatario diferente, y este comportamiento también se encuentra en aplicaciones legítimas, como el maná SMS. gement aplicaciones o incluso aplicaciones que permiten al usuario controlar de forma remota sus dispositivos a través de SMS en caso de que sean robados o perdidos ", dijo a través de correo electrónico. "La interceptación de SMS es una función que está bien documentada en los foros, junto con el código de muestra. Si se utiliza el mismo código de muestra tanto en aplicaciones maliciosas como legítimas, sería aún más difícil de detectar y bloquear".

La capacidad de usar Google Play para distribuir aplicaciones de robo de SMS ofrece ventajas a los ciberdelincuentes, dijo Botezatu. En primer lugar, algunos dispositivos de usuario están configurados para instalar solo aplicaciones obtenidas de Google Play. Además, los usuarios generalmente desconfían menos de las aplicaciones descargadas a través de Google Play y prestan menos atención a sus permisos porque esperan que las aplicaciones sean lo que sus descripciones afirman que son, dijo.