Tag Archives: troyano bancario

Troyano bancario HijackRAT afecta a los usuarios de Android

fireeye-itusersEspecialistas de FireEye señalaron que la versión actual de la aplicación maliciosa escaneó aplicaciones de bancos coreanos y las reemplazó con otras falsas.Hackers también desarrollan aplicación de malware que se camufla como una aplicación de la tienda de Google Play y coloca su ícono al lado del ícono real de la tienda.

Lima, Perú, 16 de julio del 2014.— Los ciberdelincuentes han fabricado una aplicación maliciosa para Android que agrupa una serie de herramientas para fraudes bancarios en un sólo malware móvil, con trucos nuevos y desconocidos, afirma la compañía de seguridad de la red, FireEye. Esta nueva amenaza —en forma de troyano bancario— ha sido denominada HijackRAT y viene afectando principalmente a usuarios de países europeos como Reino Unido, Francia o Alemania.

El malware combina el robo de datos privados, robo de credenciales bancarias, suplantación de identidad y acceso remoto en una aplicación maliciosa. Hasta la fecha, el malware para Android sólo había tenido una de estas capacidades incorporadas.

Bajo el control de algún atacante, la aplicación roba la lista de contactos y envía mensajes SMS, puede iniciar una actualización de aplicaciones maliciosas y escanear por aplicaciones bancarias instaladas en el teléfono, reemplazándolas con sitios falsos. El malware también intenta deshabitar cualquier software de seguridad móvil que pudiera estar instalado en el dispositivo infectado.

La versión actual de la aplicación maliciosa escaneó aplicaciones de bancos coreanos y las reemplazó con aplicaciones falsas. «Si bien se limita sólo a los 8 bancos coreanos en este momento, el creador podría añadir fácilmente cualquier otro banco en 30 minutos de trabajo«, según FireEye.

La funcionalidad integrada en HijackRAT podría facilitar ataques de secuestro a bancos, de acuerdo con el análisis de malware móvil de FireEye. Estos ataques serían posibles gracias a la combinación de información personal de dispositivos comprometidos con la introducción de aplicaciones bancarias falsificadas en teléfonos inteligentes o tablets Android.

Aunque HijackRAT se disfraza como un «servicio de Google«, no tiene afiliación con la tienda oficial Google Play Store.

Detección y precaución

Para saber si nuestro dispositivo está infectado, es necesario buscar en el listado de aplicaciones instaladas una con el nombre Google Service Framework“. Aunque pueda parecer el nombre de un módulo del sistema operativo, esto no es así; se trata del nombre que posee el virus para evitar ser localizado.

Al estar disponible en tiendas de aplicaciones no oficiales, nadie puede evitar que un usuario realice su instalación. Es muy importante prestar atención a los permisos que solicitan las aplicaciones. En este caso, la aplicación necesita tener acceso a la agenda y al módulo de mensajes de texto. Con esto queremos decir que un juego nunca va a necesitar este tipo de permisos; por lo tanto, si encontramos un caso de estas características, lo mejor es abortar la instalación. Tampoco es posible fiarse de que todas las aplicaciones de Play Store que están disponibles se encuentren libres de malware, por lo que se recomienda prestar atención de igual forma a los permisos.

Recientemente investigadores de seguridad móvil de FireEye han descubierto un nuevo malware cifrado de una aplicación Android incorporado como archivo adjunto en una carpeta de recursos, ocultando todas las actividades maliciosas en la solicitud adjunta. La aplicación de malware se camufla como una aplicación de la tienda de Google Play y coloca su ícono al lado del ícono real de la tienda de Google Play en el escritorio. El hacker utiliza un servidor DNS dinámico, con el protocolo SSL Gmail para recopilar SMS, certificado de firma bancaria y la contraseña de los teléfonos Android.

La mayoría de las compañías de seguridad sólo utilizan el algoritmo basado en firmas, el cual puede fallar en la detección de este tipo de aplicaciones de malware encubiertos. El hacker es suficientemente inteligente para usar protocolos para evadir la detección de firma en el tráfico de red de la mayoría de los vendors AV. Pero no puede escapar en el entorno VM de FireEye.

ESET identificó nuevo código malicioso que afecta a Latinoamérica

eset-hand-robot-itusersLa botnet Win32/Napolar se encuentra entre las amenazas destacadas de septiembre.

Lima, Perú, 07 de octubre del 2013.— Durante septiembre, el Laboratorio de Investigación de ESET detectó un nuevo código malicioso tipo botnet denominado Win32/Napolar. Este malware puede servir múltiples propósitos, entre los cuales se encuentran la conducción de ataques de Denegación de Servicios (DOS), y el robo de información de sistemas infectados.

A través de distintos navegadores, logra extraer datos ingresados en sitios web. Hasta el momento se detectaron miles de infecciones, muchas de las cuales están ubicadas en Latinoamérica siendo Perú, Ecuador y Colombia los más afectados.

En cuanto a la propagación, se cree que lo hace a través de Facebook. Dado que este código malicioso puede robar las credenciales de la red social, el atacante puede utilizar las mismas para enviar mensajes desde las cuentas comprometidas y tratar de infectar a los amigos de la víctima. A su vez, septiembre también se caracterizó por la aparición de amenazas relacionadas a plataformas móviles.

Por un lado, el lanzamiento de iOS 7.0 trajo aparejado el descubrimiento de una falla que permitía acceder a aplicaciones sin necesidad de ingresar el código de desbloqueo. A su vez, se evidenció la posibilidad de engañar al lector de huellas dactilares incorporado en el iPhone 5s. Sin embargo, Apple publicó la actualización 7.0.2 que dio solución la vulnerabilidad que permitía evadir el bloqueo.

Con respecto al lector de huellas dactilares y a qué método de bloqueo implementar en el iPhone, se recomienda habilitar la clave extensa en vez de los 4 dígitos por defecto para proteger el dispositivo de accesos no autorizados a la información. Además de actualizar iOS a su última versión e implementar el tipo de bloqueo mencionado anteriormente, se recomienda modificar algunos parámetros de privacidad”, dijo André Goujon, Especialista de Awareness&Research de ESET Latinoamérica.

Asimismo, el Laboratorio de Investigación de ESET Latinoamérica también detectó una falsa aplicación para Android que simulaba ser Adobe Flash y que se propagó por Google Play. Resultó llamativo que los responsables se preocuparon de aspectos relacionados a la Ingeniería Social. Por ejemplo, la descripción y el falso programa tenían los iconos y tipografías de Adobe. También se destaca que la mayoría de los comentarios provenientes supuestamente de los usuarios de este Flash eran positivos, lo que significa que las evaluaciones no siempre son fidedignas.

Paralelamente se descubrió Hesperbot, troyano bancario diseñado para Windows, pero que además posee componentes maliciosos que funcionan en Android, BlackBerry y Symbian. Esto demuestra quelos cibercriminales, para obtener rédito económico, continúan aprovechando plataformas tradicionales, como las móviles que siguen en crecimiento.

Es importante recordar que el usuario debe ser consiente de los riesgos a los que se enfrenta si no utiliza de forma adecuada un dispositivo móvil, consejo que cobra mayor relevancia si se considera que, según una encuesta reciente, el 73,9% de los usuarios de América Latina no realiza backup de la información almacenada en este tipo de equipos”, agregó Goujon.

Para obtener mayor información sobre las amenazas destacadas de agosto, visitar el resumen de amenazas destacadas del mes publicado en el Blog de Laboratorio de ESET Latinoamérica: http://blogs.eset-la.com/laboratorio/2013/10/02/resumen-amenazas-septiembre-2013/.

Más información

ESET descubre peligroso troyano bancario en Brasil

eset-droid-itusersBuenos Aires, 06 de agosto del 2013.— El Laboratorio de Investigación de ESET Latinoamérica analizó un troyano bancario que afectó principalmente a usuarios de Brasil. Según los resultados de la investigación, el mismo se propagó a través de técnicas de Ingeniería Social para infectar la PC de los usuarios.

A su vez, la amenaza utilizó un sitio gubernamental brasileño para enviar información confidencial al atacante. La misma era robada a los usuarios a través de un plugin en Google Chrome™. Entre los datos que obtuvieron los cibercriminales, se encuentra el número de documento de personas de Brasil, la contraseña y el PIN o el número de 4 dígitos de validación de las tarjetas de débito y números de cuentas bancarias. Sin embargo, gracias a la investigación de ESET y la cooperación con las autoridades brasileñas en conjunto con  Yahoo!, esta amenaza ya no está activa.

En este caso, el código malicioso utilizó una falla de diseño de un sitio gubernamental brasileño para poder enviar la información que fue robada a sus usuarios. Se realizó de forma anónima y con el fin de disipar cualquier tipo de sospecha, dada la buena reputación del servidor”, dijo Sebastián Bortnik, Gerente de Educación y Servicios de ESET Latinoamérica. Esta amenaza es detectada por ESET como JS/Spy.banker.G.

El malware se propagaba a través de un archivo ejecutable usando técnicas de Ingeniería Social con el fin de afectar a la mayor cantidad posible de usuarios. Este ejecutable es un dropper, identificado como MSIL/Spy.Banker.AU, es decir un archivo que instala otros archivos en el sistema para que el malware pueda alcanzar su mayor capacidad de operación. El archivo analizado por el Laboratorio de Investigación de ESET Latinoamérica se desarrolló en .NET, el conocido framework de Microsoft. “El hecho de que utilice una extensión de Chrome para el robo de datos tiene un impacto directo en la víctima, ya que en este caso no es el sistema operativo el que está infectado, sino el propio navegador”, agregó Bortnik. La instalación de esta extensión del navegador es fundamental para que se produzca el robo de datos.

El análisis técnico completo de esta amenaza está disponible en el artículo “Análisis de un malware brasileño: ¿Qué tienen en común un troyano bancario, Google Chrome y un servidor de gobierno?” que se puede encontrar en http://www.eset-la.com/centro-amenazas/articulo/analisis-de-un-malware-brasil/3234y en http://blogs.eset-la.com/laboratorio/2013/08/01/que-tienen-comun-troyano-bancario-google-chrome-servidor-gobierno-brasileno/.