Ataque de la mano fantasma, el nuevo riesgo para usuarios de apps bancarias

3/septiembre/2021

 

Agencias

Cada vez son más las personas que utilizan la banca móvil en América Latina, debido a la pandemia de covid-19. por lo que ahora los cibercriminales están enfocando sus campañas en los dispositivos móviles a través de un método que Kaspersky nombró como “el ataque de la mano fantasma”.

“En Brasil, se lanzó un sistema de pagos en tiempo real llamado Pix en noviembre del año pasado y se tornó muy popular, en un solo día llegó a registrar 10 millones de transacciones. Mientras que la banca móvil en México creció 24% desde que comenzó la pandemia”, detalló el analista senior de seguridad de Kaspersky, Fabio Assolini.

En Konferencia @Casa 2021, indicó que esos avances han hecho que los piratas informáticos encuentren atractivo atacar los smartphones para así hacerse de información, sobre todo bancaria. Para ello realizan lo que la empresa de ciberseguridad llama el “ataque de la mano fantasma”, se trata del uso de tres códigos maliciosos de origen brasileño capaces de infectar los dispositivos y tomar control de ellos, de tal manera que se puede obtener la información de las aplicaciones bancarias o de pagos, aunque estas tengan medidas de seguridad como doble autenticación, así como otra información relacionada con redes sociales.

Los Actores del Peligro: Fabio Marenghi, analista senior de seguridad para América Latina de Kasperksy Lab, detalló que los tres códigos maliciosos que se están utilizando son Ghimob, BRatay TwMobo.

Ghimbo fue encontrado el año pasado y suele infectar el dispositivo móvil a través de un correo electrónico que engaña al usuario para que lo descargue. Una vez en el equipo abusa del modo de accesibilidad y puede obtener desde la contraseña para desbloquear el equipo hasta tener acceso a las aplicaciones bancarias de manera remota.

Assolini destacó que algunas aplicaciones bancarias tienen medidas de seguridad relacionadas con el reconocimiento facial que también están siendo burladas en este tipo de ataques. Lo que hacen los cibercriminales es una llamada al usuario haciéndose pasar por el banco para convencerlos de tener una videollamada por WhatsApp. Esto con el fin de grabar su video y así obtener sus biométricos faciales para usarlos.

Actualmente, Ghimob está atacando principalmente en Brasil, Perú, Paraguay, Portugal, Alemania, Angola y Mozambique.

En lo que respecta a BRata, Marenghi comentó que estuvo activo en Brasil desde 2019 y, posteriormente, también ha encontrado víctimas en Estados Unidos y México. Los piratas informáticos detrás de este fueron tan hábiles que lograron colocar una campaña directamente en Google Play y obtuvieron más de 40 mil instalaciones de este código malicioso.

Esto porque se disfraza como un actualizador de aplicaciones populares como Chrome, WhatsApp, Gmail o lector de PDF.

En marzo pasado los investigadores de la firma ThreatFabric, identificaron un malware de fraude bancario llamado Vultur que pone en riesgo a usuarios de Android que usan aplicaciones bancarias. “Se trata de un ataque que ha resurgido y que podría haber evolucionado. Vultur tiene la capacidad de leer y grabar la pantalla de un dispositivo móvil, así como de registrar las teclas para robar las credenciales de los usuarios”.

Y es que la mayoría de los ataques se logran haciendo creer al usuario que está ingresando en la aplicación legítima de su banco, cuando en realidad es una copia que registra toda la información de acceso. Pero en el caso de Vultur se graba lo que sucede en la pantalla, es decir, sí se trata de la app oficial, pero hay un espía que se encarga de robar las credenciales de acceso.

El ataque partió de una aplicación fraudulenta disponible en Google Play Store. No obstante, y aunque Google parece responder a las alertas de aplicaciones sospechosas, eso no parece ser un consuelo para quienes ya han sido despojados de sus credenciales o de su capital.

De hecho, un informe reciente de AV-TEST mostró que Google Play Protect, cuyo objetivo es identificar el malware, quedó en último lugar entre sus pares de aplicaciones de seguridad móvil. “Los desarrolladores y editores de aplicaciones móviles que facilitan los pagos u otras actividades bancarias no deberían dar por hecho que sus plataformas y usuarios están protegidos únicamente por el sistema operativo Android o la tienda Google Play. Deben tomar medidas adicionales con múltiples capas de seguridad, incluyendo la autenticación del cliente y el blindaje de la aplicación que, cuando se integra en una de banca móvil, supervise continuamente la app y la cierre si se detecta tecnología de lectura de pantalla o de registro de teclas, como la ejecutada por este malware Vultur”.

Los especialistas también comentaron que, por la manera en que opera, este malware no solo es un riesgo para las aplicaciones de entidades bancarias, se ha comprobado que Vultur también afecta a monederos de criptomonedas y redes sociales.