Cabecera blog ciberseguridad

Troyanos bancarios. Cómo te pueden robar la cartera desde tu móvil

- Ciber 4 All Team
Los troyanos bancarios suponen un enorme peligro para ciudadanos y empresas

Los troyanos bancarios son un tipo de malware que permite a los delincuentes acceder a las cuentas bancarias y a los monederos de criptomonedas de sus víctimas

¿Durante cuánto tiempo eres capaz de no mirar al móvil? Desde hace más de una década, los smartphones son elemento básico de nuestro día a día. Desde la palma de nuestra mano podemos gestionar múltiples aspectos de nuestra vida personal, profesional o empresarial.

Desde el móvil realizamos tareas cotidianas como contestar a un email de trabajo, mandarle un WhatsApp a nuestra pareja, pagarle una factura a un proveedor o pagar la compra del supermercado.

Como consecuencia de ello, nuestros teléfonos contienen una ingente cantidad de información personal, profesional y financiera. Lo que los convierte en un objetivo especialmente atractivo para los ciberdelincuentes.

De ahí que no deba sorprendernos que los actores maliciosos desarrollen malware como los troyanos bancarios para acceder a las cuentas bancarias de empresas y ciudadanos y robarles su dinero.

Hace unos días, se hizo público que uno de los troyanos bancarios más célebres, Anatsa, ya se está usando para atacar a ciudadanos y compañías de múltiples países y lograr acceder a más de 800 aplicaciones financieras.

Este caso evidencia la amenaza que supone el malware que busca infectar nuestros dispositivos móviles en general y los troyanos bancarios en particular.

De hecho, Google eliminó recientemente 77 aplicaciones de Google Play que acumulaban 19 millones de instalaciones y servían para distribuir múltiples tipos de malware: adware, spyware, troyanos bancarios…

1. ¿Cómo funcionan los troyanos bancarios?

Anatsa es un ejemplo paradigmático de la evolución de los troyanos bancarios y su constante perfeccionamiento. ¿Cuáles son las claves de los troyanos bancarios?

  1. Se distribuyen a través de aplicaciones que aparentemente son legítimas. Por ejemplo, lectores de PDF, limpiadores de archivos, lectores de códigos QR o software pirata. En algunos casos, estas apps móviles se encuentran en Google Play, en otras ocasiones, en cambio, los usuarios las descargan desde webs que, teóricamente, son propiedad de los desarrolladores de las aplicaciones. Adicionalmente, es muy común entre usuarios utilizar APK Markets que permiten la descarga de aplicaciones móviles sin acudir al mercado oficial de Google.
  2. Actualmente, para evadir el proceso de revisión de Google, solo se descargan los troyanos bancarios después de la instalación de las apps señuelo. Esto es posible porque estas aplicaciones se conectan al servidor de comando y control de los troyanos bancarios. Esta instalación se hace pasar, a ojos del usuario, como una actualización.
  3. Se emplean técnicas para evitar el análisis y la detección de los mecanismos de seguridad de los dispositivos. Lo cual resulta clave ante el reforzamiento de la seguridad en los sistemas Android. Por ejemplo, para evadir los controles de seguridad, se usan archivos APK malformados que permiten romper el análisis estático y la detección de emulación.
  4. Una vez que los troyanos bancarios están en los móviles de las víctimas, se habilitan todos los permisos de seguridad que necesitan para realizar acciones como superponer pantallas falsas sobre aplicaciones financieras legítimas, obtener credenciales de acceso a ellas, interceptar las comunicaciones entre estas aplicaciones y los usuarios, manipular las notificaciones, recibir y leer SMS, realizar capturas de pantalla, obtener códigos de los mecanismos de autenticación multifactor, etc.
  5. Gracias a la información que se puede recopilar, los ciberdelincuentes detrás del uso de troyanos bancarios pueden realizar transferencias ilegítimas desde las cuentas bancarias de sus víctimas o transferir criptomonedas desde sus wallets.

2. ¿Qué buscan los delincuentes?

El uso de troyanos bancarios como Anatsa, MMRat, Xenomorph o Hook tiene un objetivo claro: robar el dinero de empresas y ciudadanos mediante el acceso ilegítimo a sus aplicaciones bancarias y crypto wallets.

Para lograrlo, los ciberdelincuentes que desarrollan troyanos bancarios han ido perfeccionando sus técnicas, tácticas y procedimientos, como apuntamos antes, para:

  • Engañar a ciudadanos y empresas en un contexto en el que la suspicacia va en aumento y la sociedad ha tomado consciente de los riesgos que conlleva descargar aplicaciones maliciosas.
  • Superar unos mecanismos de seguridad que son, cada vez, más sólidos. De tal forma que puedan evadirlos y persistir en los dispositivos infectados pasando desapercibidos.
  • Acceder a las cuentas bancarias de las víctimas, a pesar del notable incremento de los sistemas de protección que han desarrollado los bancos en los últimos años. Los troyanos bancarios permiten a los delincuentes enfrentarse con éxito a mecanismos de seguridad esenciales como la autenticación multifactor para entrar en apps bancarias o autorizar la realización de pagos.
  • Monetizar los ataques de forma inmediata y dotarse de más recursos para seguir perfeccionando sus técnicas, tácticas y procedimientos.
Los troyanos bancarios son cada vez más sofisticados y difíciles de detectar

3. ¿Los troyanos bancarios también pueden afectar a las carteras de criptomonedas?

Aunque, originalmente, los troyanos bancarios servían para acceder ilegítimamente a las cuentas bancarias de las víctimas, se han adaptado para facilitar el acceso de los delincuentes a las wallets de los dueños de los dispositivos infectados.

A nadie se le escapa, a estas alturas, que el mercado de criptomonedas continúa creciendo. Las cripto se han convertido en un bien de inversión para millones de personas que gestionan sus activos a través de wallets y exchanges a los que acceden desde sus móviles.

Troyanos bancarios como Crocodilus abusan de los permisos de accesibilidad de los dispositivos para capturar información que permite a los actores maliciosos vaciar las wallets de sus víctimas y tomar el control de sus activos.

4. Consejos básicos para evitar ser víctimas de los troyanos bancarios

Los usuarios podemos y debemos implementar buenas prácticas en materia de seguridad para evitar ser víctimas de troyanos bancarios. ¿Cómo cuáles?

  1. Descargar solo aplicaciones desde la Play Store y la App Store y que hayan sido desarrolladas por compañías que conoces.
  2. Comprobar antes de descargar una aplicación la nota de los usuarios, el número de descargas que tiene o las reseñas para detectar cualquier indicio de que pueda ser maliciosa.
  3. Actualizar el sistema operativo del móvil para implementar todas las mejores a nivel de seguridad desarrolladas por Android o Apple.
  4. Tener habilitadas las herramientas de seguridad como Google Play Protect o Comprobación de seguridad de iOS.
  5. Revisar los permisos de seguridad que tienen las aplicaciones y limitarlos a los permisos mínimos imprescindibles para que puedan funcionar de manera adecuada.
  6. Echar un vistazo de forma recurrente a datos como el consumo de datos o de batería que realizan las aplicaciones en segundo plano. Si cualquier de estos datos es elevado, es probable que se haya instalado un malware y un actor malicioso esté llevando a cabo acciones para robarnos datos sensibles.
La ciberseguridad de los dispositivos móviles es crítica hoy en día

5. Qué pueden hacer las empresas para protegerse de los troyanos bancarios

Si el uso de troyanos bancarios contra móviles personales es peligroso, aún lo es más cuando los dispositivos infectados son dispositivos corporativos en los que se cuentan con aplicaciones financieras.

Hoy en día, no resulta en absoluto excepcional que el director financiero de una empresa u otros cargos con responsabilidad tengan instaladas aplicaciones bancarias desde las que pueden gestionar pagos a proveedores o socios comerciales, así como autorizar operaciones mediante un sistema de autenticación multifactor.

Garantizar la protección de estos dispositivos es crítica para las empresas, ya que, si son infectados con troyanos bancarios, los delincuentes podrían llegar a robar cuantiosas cantidades económicas.

Para evitarlo, las empresas pueden:

  • Formar y concienciar a sus trabajadores sobre las técnicas de ingeniería social más sofisticadas y las amenazas a las que se exponen mediante test de ingeniería social.
  • Auditar continuamente la seguridad de los dispositivos móviles corporativos, combinando herramientas automatizadas de detección y respuesta ante actividad maliciosa con el análisis de expertos en ciberseguridad.
  • Realizar una monitorización permanente de los móviles que tienen descargados aplicaciones bancarias para prevenir la descarga de aplicaciones inseguras o asegurarse de la implementación de las actualizaciones de seguridad.
  • Elaborar manuales de buenas prácticas para evitar que se realizan acciones inseguras como la descarga de aplicaciones que no provienen de desarrolladores de confianza o permitir que una aplicación tenga permisos excesivos.

6. Google MASA, Google Play Protect y Developer Verification: El esfuerzo por erradicar los troyanos bancarios y otros malware de nuestros móviles

Antes de nada, debemos apuntar que, aunque nos hemos centrado en troyanos bancarios cuyos targets son móviles Android, no podemos perder de vista que también hay troyanos bancarios diseñados para infectar móviles cuyo sistema operativo es iOS, por ejemplo, GoldPickaxe.

Sin embargo, es cierto que los grupos delictivos detrás del desarrollo de troyanos bancarios y otros malware se han focalizado, sobre todo, en los móviles que emplean Android como sistema operativo.

De ahí que Google haya diseñado una estrategia de seguridad para incrementar el nivel de protección de dispositivos y usuarios. ¿Cuáles son los tres principales pilares de esta estrategia?

  1. Google MASA. Esta iniciativa busca fomentar la verificación de seguridad de las aplicaciones que se ofertan en la Play Store. Esta verificación se basa en la realización de pruebas de acuerdo a las metodologías de OWASP (MASVS y MASTG) que conforman un estándar global en materia de ciberseguridad de las aplicaciones móviles. De tal forma que mediante auditorías de aplicaciones móviles se puede validar que una app no presenta debilidades y cumple con los requisitos de seguridad.
  2. Google Play Protect. Esta herramienta de seguridad está integrada en los sistemas operativos Android y sirve para:
    • Verificar las aplicaciones de la Play Store antes de descargarlas de cara a detectar malware.
    • Analizar periódicamente los móviles para buscar la presencia de aplicaciones maliciosas que escondan, por ejemplo, troyanos bancarios.
    • Enviar a los usuarios alertas de seguridad sobre aplicaciones que falsean su información o que pueden obtener permisos de seguridad que les permiten tener acceso a información sensible, como las credenciales para entrar en apps financieras.
  3. Developer Verification. Desde 2027, será obligatorio que las compañías que desarrollen aplicaciones para móviles Android, las suban o no a la Play Store, estén registradas como desarrolladores verificados. De lo contrario, no se podrán instalar en los dispositivos Android certificados. El objetivo es dificultar que los delincuentes puedan propagar aplicaciones móviles maliciosas al vincular las apps con sus desarrolladores, evitar el anonimato y responsabilizar a los desarrolladores de la seguridad de sus aplicaciones.

En definitiva, los troyanos bancarios suponen una amenaza para la seguridad financiera de los ciudadanos y las empresas.

Ante el absoluto protagonismo que tienen los móviles en nuestras vidas, los ciberdelincuentes han redoblado sus esfuerzos a la hora de desarrollar técnicas, tácticas y procedimientos que les permitan espiarnos o conseguir acceder a aplicaciones críticas como apps de correo electrónico, almacenamiento de documentos en la nube o aplicaciones bancarias.

En la lucha contra los troyanos bancarios y otros tipos de malware es esencial que los ciudadanos y las empresas actúen con cautela y se rodeen de todas las medidas de seguridad que los pueden proteger.