Los analistas de Kaspersky han descubierto TwMobo, una nueva familia de troyanos bancarios para móviles desarrollada en Brasil, y, paralelamente, han identificado tres tendencias importantes relacionadas a este tipo de amenazas: aumento de fraudes a través de teléfonos móviles, la internacionalización de las amenazas móviles brasileñas a América Latina, Europa y Estados Unidos, y la preferencia por los RATs (troyanos de acceso remoto) con la habilidad de eludir los mecanismos de doble autenticación de los móviles, como el reconocimiento digital, facial o tokens digitales.
Impulsados por las medidas de aislamiento social aplicadas en la lucha contra el coronavirus, las transacciones bancarias y el comercio electrónico han experimentado un crecimiento exponencial, lo que ha resultado en la rápida adopción de tecnologías de doble autenticación. Sin embargo, en vez de desalentarlos, los cibercriminales tomaron nota y han recurrido a las RATs para móviles para burlar tales medidas de seguridad.
Los expertos de Kaspersky explican que estos troyanos bancarios otorgan acceso remoto al teléfono móvil (o tablet) infectado dándole a los atacantes control total del dispositivo. Entre los accesos adquiridos están los códigos de doble autenticación enviados por SMS, correo electrónico o aquellos generados dentro de las apps instaladas. Otra desventaja para los usuarios es que el fraude se lleva a cabo desde el mismo teléfono móvil de la víctima, lo que dificulta su identificación por parte de la institución financiera o tienda en línea.
Para Fabio Assolini, analista senior de seguridad en Kaspersky, a este tipo de engaño le llaman ‘ataques de la mano fantasma’, porque parece que el móvil tiene vida propia, ya que las aplicaciones se abren ‘solas’, pero en realidad es el ciberdelincuente quien controla el dispositivo remotamente. “Esta estafa es tan eficaz que de las tres familias de RATs móviles brasileñas, dos ya se han dispersado por América Latina, Europa y Estados Unidos, utilizando operadores locales para monetizar su estafa. Estos grupos de atacantes siguen el modelo de Malware como servicio (MaaS) popularizado en Europa del Este, contribuyendo a la rápida expansión de estos troyanos bancarios para móviles», afirma el ejecutivo.
El especialista de Kaspersky también señala que este nuevo RAT móvil posee características interesantes. Además de su preferencia por las aplicaciones bancarias, también roba las contraseñas guardadas en el navegador y redes sociales. Hasta ahora, cinco instituciones bancarias han sido identificadas como objetivos de TwMobo: cuatro bancos brasileños y una organización internacional.
«Para propagar este malware, los delincuentes invaden sitios web con mucho tráfico de usuarios e insertan un script malicioso. Cuando el usuario accede al sitio comprometido, verá una falsa notificación alertándole que su dispositivo ha sido infectado y le pide que ejecute una limpieza del sistema. Por supuesto, al aceptarlo, la víctima estará permitiendo la instalación del RAT, y una vez instalado, la app queda oculta y no es posible desinstalarla manualmente», detalla Assolini.
Previo a esta amenaza, Kaspersky ya había anunciado el descubrimiento de los RATs BRata y Ghimob. El más antiguo de los dos es BRata, que se anunció en 2019, aunque el grupo solo estaba activo en Brasil. Sobre Ghimob, el analista de Kaspersky refuerza el creciente interés de los troyanos brasileños en Europa. Después de Brasil (con 113 aplicaciones registradas con el código de malware), le sigue Alemania (con 5 instituciones), seguida de Portugal (3), Perú (2) y Paraguay (2).
«La principal novedad de Ghimob es la técnica utilizada para burlar la autenticación biométrica. Los delincuentes llaman a las víctimas haciéndose pasar por el servicio técnico del banco y piden confirmar su identidad mediante una video-llamada. En ese momento, graban la imagen de la víctima y luego la usan para burlar la autenticación biométrica en la app bancaría», explica.
