Aplicación fraudulenta suplanta al BBVA e instala troyano bancario para Android

A la hora de desarrollar amenazas con las que infectar los dispositivos de los usuarios, en numerosas ocasiones nos encontramos con que los delincuentes adaptan códigos maliciosos ya existentes para adaptarlos a sus necesidades. Este malware puede ser de desarrollo propio, basado en uno anterior o comprado a otros delincuentes, y en algunas ocasiones podemos adelantarnos a las intenciones de los atacantes si prestamos atención a ciertos puntos clave.

Un troyano bancario para Android que nos suena

Y es que tras recibir un aviso en Twitter por parte del investigador @MalwareHunterTeam de la existencia de una aplicación maliciosa dirigida a dispositivos Android que suplanta la identidad del BBVA, empezamos a sospechar de su relación con otra aplicación analizada recientemente y que se hacía pasar por el Consejo General del Poder Judicial.

Antes de pasar a revisar a fondo la aplicación maliciosa, echamos un vistazo a la información del dominio registrado para alojar tanto la web como el instalador y otra información relacionada con las víctimas que la descarguen. Ahí ya podemos ver cómo el dominio ha sido registrado el 1 de febrero, por lo que la campaña habría empezado poco antes de recibir este aviso.

En lo que respecta a la web preparada para descargar esta app maliciosa, observamos que los delincuentes han usado tanto la imagen como los colores corporativos y logotipo del BBVA para hacerla más creíble y así conseguir un mayor número de víctimas. Además, podemos comprobar que alguna de las capturas de pantalla ya se encontraba disponible (pese a no tener relación ninguna) en la falsa web del CGPJ analizada hace unos días.

En estas capturas podemos ver que los delincuentes muestran cómo instalar la aplicación maliciosa a pesar de las varias medidas de seguridad con las que cuenta un sistema Android actualizado. Para ello es necesario que el usuario omita ciertas comprobaciones que serían capaces de detectar que estamos ante una aplicación fraudulenta, y eso sin contar las posibles alarmas que emitiría una solución de seguridad de tenerla instalada en el dispositivo.

Descarga y ejecución del troyano bancario

Si bien no hemos descubierto aún el método que utiliza esta amenaza para propagarse, es muy probable que los delincuentes estén o piensen usar mensajes SMS haciéndose pasar por la entidad bancaria suplantada y adjuntando un enlace acortado que apunte al dominio registrado recientemente. Una vez allí, se les proporciona las instrucciones de instalación y un botón de descarga.

En el caso de que la víctima descargue e instale esta aplicación en su dispositivo siguiendo las instrucciones ofrecidas para evitar ser detectada como maliciosa, se presentará una pantalla donde se solicita unas credenciales de acceso. Al tratarse de la suplantación de una entidad bancaria, es muy probable que las víctimas que hayan llegado a este punto introduzcan las credenciales de acceso a la banca online, lo que permitirá a los delincuentes hacerse pasar por ellos y acceder a su cuenta bancaria.

No obstante, con estas credenciales tan solo pueden observar el saldo y consultar los datos asociados a la cuenta bancaria, ya que para poder realizar transferencias se suele necesitar el código de un solo uso que la mayoría de entidades envían mediante SMS. Es por eso que entre los permisos solicitados por la aplicación se encuentra el que le permite interceptar los mensajes SMS para capturar este código y poder así sustraer dinero de la cuenta de la víctima.

Respecto a la similitud con la aplicación analizada hace pocos días, podemos ver que ya entonces se mencionaba al BBVA incluso a pesar de tratarse de una suplantación del CGPJ y de que los cambios entre una app y otra son casi inexistentes.

También podemos observar como la estructura de directorios en las webs utilizadas por los delincuentes para registrar errores, actualizaciones o el número de instalaciones es idéntica en ambos casos. Al parecer, los delincuentes han usado una plantilla muy similar a la hora de preparar ambos sitios web.

Con toda la información recopilada hasta ahora, no sería arriesgado afirmar que detrás de ambas campañas se encuentra el mismo grupo de delincuentes o, al menos, que se han utilizado las mismas aplicaciones maliciosas y las mismas plantillas a la hora de realizar las suplantaciones, tanto la del CGPJ como la del BBVA. En ambos casos, las soluciones de ESET detectan esta amenaza como una variante del troyano Android/Spy.Banker.

Conclusión

Tras analizar ambas campañas y comprobar sus similitudes, tan solo queda ver cómo evolucionan y ver si modifican su estrategia para tratar de conseguir nuevas víctimas. Lo que queda claro es que siguiendo consejos tan básicos como no instalar aplicaciones desde fuentes que no sean de confianza y contar con una solución de seguridad en nuestro dispositivo móvil evitaremos que este tipo de amenazas supongan un problema.

Josep Albors

Falsa notificación de envío suplantando a DHL es usada para robar tarjetas de crédito