La evolución que han seguido amenazas clásicas para ordenadores a la hora de trasladarse a dispositivos móviles ha sido relativamente rápida y sabiendo adaptarse a las características únicas que presentan estos dispositivos. Dentro de los diferentes tipos de malware que podemos encontrar en nuestros móviles, teníamos variantes de conocidos troyanos como Zeus (Zitmo), SpyEye (Spitmo) y desde ahora también Citmo.
Estas tres variantes están especializadas en el robo de información bancaria y están pensados para romper los sistemas de doble autenticación que incorporan algunas entidades bancarias. Estos sistemas de protección requieren del envío de un SMS con un código de seguridad cada vez que el usuario desee realizar una operación de banca online. Al ser un código de un solo uso se evita que lo podamos perder o nos lo roben y se realicen transferencias de dinero sin nuestra autorización.
Este tipo de troyanos para móviles Android han ido afectando a diversas entidades bancarias desde que en 2010 apareciera la primera variante de Zitmo. La mayor parte de entidades pertenecen a países europeos, destacando España, Italia, Polonia y Alemania, entre otros. Sin embargo, al estar centrado el troyano Carberp en usuarios de Rusia, es comprensible que su versión para móviles se centre en entidades que operen en este país.
Así pues, en las últimas semanas se han venido observando hasta tres aplicaciones subidas a Google Play que simulaban ser aplicaciones pertenecientes a bancos rusos. ¿Cómo es posible que se colasen tres troyanos de esta índole en el mercado de aplicaciones de Google? Para empezar, no es la primera vez y es algo que se viene produciendo con demasiada frecuencia. Seguidamente, debemos tener en cuenta que resulta difícil determinar si una aplicación es maliciosa observando únicamente los permisos que solicitan y estas variantes de Citmo no se caracterizan por solicitar nada fuera de lo normal.
Con este tipo de malware, los ciberdelincuentes se aseguran de obtener todos los datos necesarios para poder robar dinero de las cuentas bancarias de los usuarios. El único esfuerzo adicional que han de realizar para poder saltarse las medidas de doble autenticación, implementadas por algunas entidades bancarias, consiste en realizar una sencilla aplicación y conseguir subirla a Google Play. De esta forma, bien proporcionando el enlace de la aplicación maliciosa por emails u otros medios o bien porque el usuario la encuentra en la tienda de aplicaciones y la instala, se consigue un interesante número de víctimas potenciales.
Como vemos, a pesar de que estas técnicas son bien conocidas y llevan ya bastante tiempo funcionando, no dejan de resultar efectivas, sobre todo si el usuario que tiene que tomar la última decisión falla a la hora de comprobar que la aplicación que quiere instalar es en realidad un malware.