Pasar al contenido principal

Malware bancario

Descripción

El malware bancario es un tipo de programa malicioso que tiene como objetivo el robo de información financiera de los usuarios, como credenciales de acceso a la banca online. Los creadores de este tipo de malware suelen llevar a cabo ataques a través de aplicaciones fraudulentas.

¿A quién va dirigido?

Principalmente este tipo de malware está dirigido a empresas y usuarios. La tendencia del malware bancario ha ido en aumento debido al amplio uso de internet y aplicaciones móviles para acceder a bancos en línea o realizar cualquier tipo de operación financiera a través de aplicaciones de tecnología financiera, aplicaciones para mover dinero o procesar transacciones comerciales, gestión de patrimonio, billeteras móviles, transferencia de dinero o aplicaciones de efectivo.

Tipos de malware bancario

Dentro de la categoría de malware bancario, existen diversas taxonomías que son utilizadas en los ataques cibernéticos como los troyanos bancarios, troyanos de acceso remoto (RAT) o malware para cajeros automáticos. Año tras año surgen nuevas familias de malware especialmente diseñados tanto para dispositivos móviles Android, como para sistemas operativos como por ejemplo Windows. Todos ellos tienen el mismo objetivo, pero pueden variar en cuanto al método que utilizan para robar los datos.

Funcionalidades

Las principales capacidades que presentan estos programas maliciosos van desde la captura de pantalla o grabación de datos en dispositivos móviles, el registro de teclas para recopilar la información escrita en los dispositivos infectados (como credenciales o contraseñas de acceso), o bien, el redireccionamiento a sitios web fraudulentos de apariencia legítima pero controlados por ciberdelincuentes para el robo de información.

Principales métodos de infección

Los métodos más comunes de infección o de entrada del malware bancario son:

  • Envío de correos electrónicos con archivos adjuntos maliciosos (PDF, Word, etc.) que descargan malware;
  • Descarga de software malicioso que en apariencia puede ser legítimo pero que contiene código malicioso que se instala e infecta los dispositivos.
  • Páginas de internet fraudulentas, entre otros.

Mientras que en el panorama de amenazas del malware bancario surgen nuevas familias para dispositivos Android, como Ghimob o Vultur, otras familias ya conocidas, como Cerberus y Anubis Bankbot, Mekotio o Mispadu se han mantenido entre las más populares y activas.

Análisis de actividad

A continuación, se listan algunas familias de malware bancario:

  • Mekotio: Utiliza el correo electrónico como método de distribución, a través de correos electrónicos suplantando el cobro de multas u otras transacciones bancarias con un archivo Excel adjunto o scripts VBScript para Windows. Este documento con macros maliciosas descarga y ejecuta el malware. Mekotio utiliza la técnica de keylogging, registrando las pulsaciones de las teclas y robando las credenciales de los usuarios. El troyano apareció en el año 2016 en Sudamérica, atacando posteriormente a usuarios de entidades bancarias en España.
  • Bizarro: Troyano bancario dirigido especialmente a Latinoamérica, Portugal y España. El troyano aplica de diversos métodos y técnicas que evitan su detección y análisis, además de trucos de ingeniería social para engañar a las víctimas y proceder al robo de datos. Las campañas masivas de spam incluyen un adjunto o un enlace, el cual, redirige a su descarga. El archivo con extensión .msi, actúa como paquete de instalación de Windows distribuido a través de diferentes portales de descarga en los cuales, la víctima procede a la descarga y ejecución de Bizarro. La mayoría de los servicios web afectados por este malware son aquellos que se encuentran alojados en plataformas como WordPress, Amazon o servidores de Azure.
  • Mispadu: Este malware centra su actividad en América Latina y los países del sur de Europa como Italia, España o Portugal. Su principal método de propagación es a través de phishing que contienen archivos maliciosos adjuntos, haciéndose eco de falsos cupones de descuento y publicidad de importantes empresas como Amazon o McDonald’s como cebo. Su ejecución únicamente se produce en sistemas operativos Windows. El troyano recopila credenciales de correo electrónico y credenciales gestionadas en navegadores, siendo capaz también de escanear los campos de las páginas web, e incluso de abrir un falso inicio de sesión de un servicio suplantado con el fin de que la víctima introduzca sus credenciales.
  • Janeleiro: Escrito en lenguaje .NET, se distribuye a través de correos electrónicos de phishing en los cuales, se mencionan asuntos relacionados con facturas impagadas. Los mensajes redirigen, a través de URLs maliciosas, a servidores comprometidos, que proceden a la descarga de un archivo .zip alojado en la nube. Si la víctima descomprime este archivo, un instalador MSI basado en Windows carga la DLL principal del troyano. Desde principios de 2021, Janelerio ha atacado de manera agresiva a usuarios de Brasil y México a través de una campaña activa de phishing focalizado con enlaces maliciosos para intentar infectar a la víctima dirigida tanto a clientes de bancos como a titulares de cuentas de criptomonedas.
  • Vadokrist: Dirigido a entidades financieras de Latinoamérica. El software malicioso compartía varias funcionalidades comunes en otros troyanos bancarios provenientes de Brasil, sin embargo, se diferencia por sus capacidades de backdoor, la cual permite a sus operadores manipular el ratón, registrar las pulsaciones del teclado, realizar capturas de pantalla, etc. El principal vector de entrada es a través de correos maliciosos que contienen dos archivos ZIP -de los cuales uno es un MSI-, que al ser ejecutado localiza el otro archivo de tipo CAB y extrae su contenido (un loader de MSI) y ejecuta un JavaScript que se asegura de que el MSI es ejecutado en el sistema. Finalmente, el loader del MSI ejecuta la DLL del troyano Vadokrist.

Medidas de seguridad y buenas prácticas

Ya que todos podemos ser víctimas de este tipo de ataques, tanto a nivel de usuario como en empresas, es recomendable el uso de un sistema antimalware, mantener el software actualizado, no instalar software de fuentes desconocidas y prestar atención a los ficheros y enlaces que se reciban por correo electrónico.

Referencias

https://www.bitdefender.com/blog/labs/threat-actors-use-mockups-of-popular-apps-to-spread-teabot-and-flubot-malware-on-android/

https://www.zdnet.com/article/bizarro-banking-trojan-surges-across-europe/

https://unaaldia.hispasec.com/2021/04/janeleiro-troyano-bancario-que-tiene-como-objetivo-usuarios-corporativos-en-brasil.html

https://www.bankinfosecurity.com/researchers-uncover-new-android-banking-malware-a-17194