El malware bancario ha continuado afectando a la plataforma Android a lo largo de 2018, con los delincuentes apuntando a los usuarios con troyanos bancarios y aplicaciones de banca fraudulentas, pero también experimentando con nuevas técnicas de robo de dinero.
Para ayudar a los usuario a navegar por el extenso y tramposo mundo de las amenazas para Android, Lukáš Štefanko, investigador de malware en ESET, arroja algo de luz sobre aquellos tipos de amenazas más abundantes y las tácticas y técnicas empleadas por el malware bancario de Android en su white paper (en inglés) “Malware bancario en Android: Troyanos sofisticados vs. Aplicaciones bancarias fraudulentas”.
Nos sentamos con Lukáš y le preguntamos acerca de su más reciente publicación.
¿Que le hizo centrarse en este tema con tanto detalle?
Me toca lidiar a diario con aplicaciones maliciosas de Android que van en busca de las credenciales de los usuarios de banca online. Estas aplicaciones utilizan varios trucos, técnicas y métodos de distribución diferentes, pero pueden ser clasificadas en dos grandes grupos, tal y como sugiere el título del white paper. Esta distinción puede no estar muy clara para el usuario medio de Android así que quería clarificarlo.
Así que sofisticados troyanos bancarios y aplicaciones maliciosas de banca. ¿Porqué es importante para un usuario corriente conocer la diferencia?
Si los usuarios saben a lo que se enfrentan creo que tienen mejores posibilidades de permanecer seguros. Parecería que las dos categorías persiguen el mismo fin (el robo de credenciales y dinero del las cuentas bancarias de sus víctimas) pero las estrategias que emplean para conseguirlo son muy diferentes. Eso significa que las formas de evitar o eliminar estas amenazas son también diferentes para cada categoría.
Por favor, ¿podrías explicar las diferentes estrategias utilizadas por los ciberdelincuentes para alguien nuevo en la materia?
Los troyanos bancarios son astutos ya que intentan hacer que los usuarios los instalen haciéndose pasar por una aplicación divertida o útil, además de inofensiva. Pensemos en los juegos, gestores y potenciadores de batería, aplicaciones meteorológicas, reproductores de video y similares. Intenta pasar desapercibidas mientras consiguen los permisos necesarios para realizar sus acciones maliciosas. A continuación, sin que el usuario se lo esperen, introducen una pantalla de registro falsa sobre una aplicación bancaria legítima y roban los datos introducidos. Las víctimas no se suelen dar cuenta de nada hasta que descubren que e dinero ha desaparecido de sus cuentas.
Las aplicaciones bancarias fraudulentas son mucho más sencillas en su diseño, ya que consisten en tratar de convencer a la víctima de que son aplicaciones legítimas. Una vez instaladas y ejecutadas conducen a un formulario de registro, tal y como lo haría una aplicación bancaria real. Como os podréis imaginar las credenciales enviadas a través de ese formulario son recopiladas por los delincuentes. Las víctimas normalmente se dan cuenta inmediatamente de lo que ha pasado ya que la aplicación demuestra no tener otras funcionalidades bancarias.
¿Cuales son las probabilidades de que los usuarios sean engañados por una aplicación bancaria fraudulenta?
Diría que las probabilidades son menores que con los troyanos bancarios aunque, actualmente, algunas aplicaciones pueden parecer bastante confiables a pesar de ser falsas. Lo que es quizás más importante que el número de usuarios que instala malware es cuantos de ellos caen realmente en la trampa, y las posibilidades son altas en el caso de las apps bancarias falsas. Esto sucede porque los usuarios instalan esas aplicaciones creyendo que están instalando una app bancaria real, lo que les invita a introducir sus credenciales cuando ven la pantalla de registro.
¿Se considera a alguna de estas categorías más peligrosa que la otra?
Desde un punto de vista técnico, sí. Los troyanos bancarios son mas robustos y cada vez con más capacidades híbridas. Esto significa que sus capacidades van más allá del mero hecho de robar credenciales bancarias. Podrían tener también funcionalidades de espionaje o incluso de ransomware. Pero si nos centramos únicamente en el peligro que supone robar las credenciales de acceso a la banca online, creo que las aplicaciones falsas de banca son igual de peligrosas.
¿Qué consejos elegiría de su white paper como los más útiles?
Creo que hay tres puntos fundamentales para permanecer protegidos frente al malware bancario en Android.
Primero, debemos permanecer alejados de las tiendas de aplicaciones no oficiales siempre que sea posible y mantener desactivada la opción “Instalar aplicaciones desde fuentes no confiables” en nuestro dispositivo.
A continuación, debemos fijarnos en las imágenes que proporcionan las aplicaciones en Google Play y continuar prestando atención a su comportamiento tras haberla instalado. Las críticas negativas y los permisos que no están conectados a las funcionalidades de la aplicación deberían servirnos como alerta.
Finalmente, solo debemos descargar aplicaciones bancarias y financieras si estas están enlazadas desde la web oficial del banco o servicio financiero.
De hecho, estos consejos (y especialmente el que nos recomienda buscar solamente las apps que necesitamos en lugar de instalar todas aquellas con las que nos encontramos) pueden ser la mejor manera de evitar el malware en general.
Para aprender más sobre el malware bancario en Android y las formas de contrarrestarlo se puede consultar el white paper.