Kaspersky descubre nueva familia de RATs para móviles con raíces latinas
Los analistas han descubierto TwMobo, una nueva familia de troyanos bancarios para móviles desarrollada en Brasil, y, paralelamente, han identificado tres tendencias importantes relacionadas a este tipo de amenazas: aumento de fraudes a través de teléfonos móviles, la internacionalización de las amenazas móviles brasileñas a América Latina, Europa y Estados Unidos, y la preferencia por los RATs (troyanos de acceso remoto) con la habilidad de eludir los mecanismos de doble autenticación de los móviles, como el reconocimiento digital, facial o tokens digitales.
Impulsados por las medidas de aislamiento social aplicadas en la lucha contra el coronavirus, las transacciones bancarias y el comercio electrónico han experimentado un crecimiento exponencial, lo que ha resultado en la rápida adopción de tecnologías de doble autenticación. Sin embargo, en vez de desalentarlos, los cibercriminales tomaron nota y han recurrido a las RATs para móviles para burlar tales medidas de seguridad.
Los expertos explican que estos troyanos bancarios otorgan acceso remoto al teléfono móvil (o tableta) infectado dándole a los atacantes control total del dispositivo. Entre los accesos adquiridos están los códigos de doble autenticación enviados por SMS, correo electrónico o aquellos generados dentro de las apps instaladas. Otra desventaja para los usuarios es que el fraude se lleva a cabo desde el mismo teléfono móvil de la víctima, lo que dificulta su identificación por parte de la institución financiera o tienda en línea.
«A este tipo de engaño le llamamos «ataques de la mano fantasma», porque parece que el móvil tiene vida propia, ya que las aplicaciones se abren «solas», pero en realidad es el ciberdelincuente quien controla el dispositivo remotamente. Esta estafa es tan eficaz que de las tres familias de RATs móviles brasileñas, dos ya se han dispersado por América Latina, Europa y Estados Unidos, utilizando operadores locales para monetizar su estafa. Estos grupos de atacantes siguen el modelo de Malware como servicio (MaaS) popularizado en Europa del Este, contribuyendo a la rápida expansión de estos troyanos bancarios para móviles», afirmó Fabio Assolini, Analista senior de seguridad.
El especialista también señala que este nuevo RAT móvil posee características interesantes. Además de su preferencia por las aplicaciones bancarias, también roba las contraseñas guardadas en el navegador y redes sociales. Hasta ahora, cinco instituciones bancarias han sido identificadas como objetivos de TwMobo: cuatro bancos brasileños y una organización internacional.
«Para propagar este malware, los delincuentes invaden sitios web con mucho tráfico de usuarios e insertan un script malicioso. Cuando el usuario accede al sitio comprometido, verá una falsa notificación alertándole que su dispositivo ha sido infectado y le pide que ejecute una limpieza del sistema. Por supuesto, al aceptarlo, la víctima estará permitiendo la instalación del RAT, y una vez instalado, la app queda oculta y no es posible desinstalarla manualmente», detalla Assolini.
Previo a esta amenaza, Kaspersky ya había anunciado el descubrimiento de los RATs BRata y Ghimob. El más antiguo de los dos es BRata, que se anunció en 2019, aunque el grupo solo estaba activo en Brasil. «En la actualidad, BRata también opera en Estados Unidos y Europa. Sigue disfrazándose de apps falsas en tiendas oficiales y, recientemente, identificamos que una de estas apps cuenta con más de 40,000 instalaciones. Otra novedad es que hace poco se agregaron 6 comandos al código del malware, habilitándolo para realizar fraudes a bancos que operan en México».
Por último, Assolini advierte que la mejor protección contra estas nuevas amenazas es la prevención, porque una vez se realiza la infección, la víctima solo podrá eliminar el RAT utilizando una solución de seguridad en su teléfono móvil
Mantente conectado a nuestra revista Channel News Perú, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario.
