Kaspersky descubre nueva familia de RATs para móviles con raíces latinas

Una vez instalado, el troyano bancario obtiene permisos de administrador, otorgándole a los atacantes control total del dispositivo.

Los analistas de Kaspersky han descubierto TwMobo, una nueva familia de troyanos bancarios para móviles desarrollada en Brasil, y, paralelamente, han identificado tres tendencias importantes relacionadas a este tipo de amenazas: aumento de fraudes a través de teléfonos móviles, la internacionalización de las amenazas móviles brasileñas a América Latina, Europa y Estados Unidos, y la preferencia por los RATs (troyanos de acceso remoto) con la habilidad de eludir los mecanismos de doble autenticación de los móviles, como el reconocimiento digital, facial o tokens digitales.

Impulsados por las medidas de aislamiento social aplicadas en la lucha contra el coronavirus, las transacciones bancarias y el comercio electrónico han experimentado un crecimiento exponencial, lo que ha resultado en la rápida adopción de tecnologías de doble autenticación. Sin embargo, en vez de desalentarlos, los cibercriminales tomaron nota y han recurrido a las RATs para móviles para burlar tales medidas de seguridad.

Los expertos de Kaspersky explican que estos troyanos bancarios otorgan acceso remoto al teléfono móvil (o tableta) infectado dándole a los atacantes control total del dispositivo. Entre los accesos adquiridos están los códigos de doble autenticación enviados por SMS, correo electrónico o aquellos generados dentro de las apps instaladas. Otra desventaja para los usuarios es que el fraude se lleva a cabo desde el mismo teléfono móvil de la víctima, lo que dificulta su identificación por parte de la institución financiera o tienda en línea.

«A este tipo de engaño le llamamos «ataques de la mano fantasma», porque parece que el móvil tiene vida propia, ya que las aplicaciones se abren «solas», pero en realidad es el ciberdelincuente quien controla el dispositivo remotamente. Esta estafa es tan eficaz que de las tres familias de RATs móviles brasileñas, dos ya se han dispersado por América Latina, Europa y Estados Unidos, utilizando operadores locales para monetizar su estafa. Estos grupos de atacantes siguen el modelo de Malware como servicio (MaaS) popularizado en Europa del Este, contribuyendo a la rápida expansión de estos troyanos bancarios para móviles», afirmó Fabio Assolini, Analista senior de seguridad en Kaspersky.

El especialista de Kaspersky también señala que este nuevo RAT móvil posee características interesantes. Además de su preferencia por las aplicaciones bancarias, también roba las contraseñas guardadas en el navegador y redes sociales. Hasta ahora, cinco instituciones bancarias han sido identificadas como objetivos de TwMobo: cuatro bancos brasileños y una organización internacional.

«Para propagar este malware, los delincuentes invaden sitios web con mucho tráfico de usuarios e insertan un script malicioso. Cuando el usuario accede al sitio comprometido, verá una falsa notificación alertándole que su dispositivo ha sido infectado y le pide que ejecute una limpieza del sistema. Por supuesto, al aceptarlo, la víctima estará permitiendo la instalación del RAT, y una vez instalado, la app queda oculta y no es posible desinstalarla manualmente», detalla Assolini.

Previo a esta amenaza, Kaspersky ya había anunciado el descubrimiento de los RATs BRata y Ghimob. El más antiguo de los dos es BRata, que se anunció en 2019, aunque el grupo solo estaba activo en Brasil. «En la actualidad, BRata también opera en Estados Unidos y Europa. Sigue disfrazándose de apps falsas en tiendas oficiales y, recientemente, identificamos que una de estas apps cuenta con más de 40,000 instalaciones. Otra novedad es que hace poco se agregaron 6 comandos al código del malware, habilitándolo para realizar fraudes a bancos que operan en México».

Sobre Ghimob, el analista de Kaspersky refuerza el creciente interés de los troyanos brasileños en Europa. Después de Brasil (con 113 aplicaciones registradas con el código de malware), le sigue Alemania (con 5 instituciones), seguida de Portugal (3), Perú (2) y Paraguay (2).

«La principal novedad de Ghimob es la técnica utilizada para burlar la autenticación biométrica. Los delincuentes llaman a las víctimas haciéndose pasar por el servicio técnico del banco y piden confirmar su identidad mediante una video-llamada. En ese momento, graban la imagen de la víctima y luego la usan para burlar la autenticación biométrica en la app bancaría», explica.

Por último, Assolini advierte que la mejor protección contra estas nuevas amenazas es la prevención, ya que una vez se realiza la infección, la víctima sólo podrá eliminar el RAT utilizando una solución de seguridad en su teléfono móvil, como Kaspersky Internet Security para Android.

«Tras su instalación, TwMobo queda completamente oculto en el móvil. Como los delincuentes tienen el control total del dispositivo y los permisos de administrador, pueden simplemente ocultar el ícono desde su primer acceso remoto. Por ello, la mejor protección esta en ser cauteloso con los mensajes falsos (phishing), con las notificaciones que piden instalar algún programa en el teléfono, y en contar una solución de seguridad fiable en el dispositivo».

Las instituciones financieras con acceso al Portal de Inteligencia de Amenazas de Kaspersky pueden acceder a los detalles técnicos y a los listados de ataques para detectar a TwMobo y otros RATs brasileños.