En 2018 se registró una gran cantidad de malware bancario en la plataforma de Android. Los cibercriminales no solo apuntaron constantemente a estos usuarios con troyanos bancarios y apps bancarias fraudulentas, sino que también experimentaron con nuevas modalidades para robar dinero.
Para ayudar a los usuarios a navegar por este complejo escenario de amenazas dirigidas a usuarios de dispositivos Android, el investigador de seguridad de ESET, Lukáš Štefanko, explicó cuáles son actualmente los tipos de amenazas, tácticas y técnicas más prevalentes en el malware bancario para Android en su white paper: “Android banking malware: Sophisticated Trojans vs. Fake banking apps”.
Conversamos con Lukáš y le hicimos algunas preguntas sobre su última publicación.
¿Por qué decidiste enfocarte en este tema con tanto detalle?
A diario trabajo con aplicaciones maliciosas que van detrás de las credenciales bancarias de usuarios de Android. Si bien utilizan muchos tipos de engaños, técnicas y métodos de distribución, por su forma de operar se puede hacer una división entre dos grandes grupos –tal como sugiere el título del white paper. La diferencia puede no resultar del todo clara para los usuarios regulares de Android, por eso a intentamos explicarlo con más detalle.
Entonces, troyanos bancarios sofisticados y falsas apps bancarias. ¿Por qué es tan importante que los usuarios estén familiarizados con esta diferencia?
Si los usuarios saben a qué se enfrentan, considero que tienen más chances de estar protegidos. Ambas categorías puede que tengan el mismo objetivo –robar credenciales o dinero de las cuentas bancarias de sus víctimas-, pero sus estrategias para alcanzar tales objetivos son muy diferentes. Y esto significa que las formas de prevenir o remover las amenazas también serán diferentes para cada categoría.
¿Podría explicar las diferentes estrategias para alguien que recién se introduce en el tema?
Los troyanos bancarios son deshonestos: intentan hacer que los usuarios los instalen haciéndoles creer que se trata de algo divertido o útil, y totalmente inofensivo. Piensen en juegos, gestores de batería, aplicaciones del clima, reproductores de video, y muchos otros tipos apps más. Procuran mantenerse ocultas de los usuarios mientras recolectan los derechos y permisos necesarios para el gran final. Luego, cuando el usuario menos lo espera, deslizan una falsa pantalla de inicio de sesión sobre una app bancaria legítima y de esta manera roban los datos ingresados. Las víctimas puede que no se den cuenta de que algo está pasando, hasta que descubren que desapareció dinero de sus cuentas.
Las falsas apps bancarias son más simples: todas intentan convencer a los usuarios que son las apps bancarias legítimas. Una vez instaladas y ejecutadas, presentan un formulario para el inicio de sesión, tal como lo haría una app bancaria real. Y, como probablemente ya has adivinado, las credenciales ingresadas al formulario son recolectadas.
¿Cuáles son las chances de que un usuario caiga en la trampa de una falsa app bancaria?
Yo diría que las chances son menores que con troyanos bancarios, pero en estos días algunas aplicaciones pueden verse bastante confiables a pesar de ser falsas. Quizás, más importante que saber cuántos usuarios instalan malware es saber cuántos de ellos se convierten en víctimas –y las probabilidades son altas en el caso de las falsas apps bancarias. Esto es porque los usuarios instalan estas aplicaciones creyendo que están instalando una app bancaria actual, lo que los predispone a ingresar sus credenciales al ver una pantalla de inicio de sesión.
¿Es una de estas categorías considerada más peligrosa que la otra?
Desde el punto de vista técnico, sí – los troyanos bancarios son más robustos y cada vez más híbridos. Esto quiere decir que sus capacidades van más allá de solo robar las credenciales bancarias, ya que, por ejemplo, pueden tener funciones para espiar o capacidades tipo ransomware. Pero si estamos hablando del peligro de que roben una de nuestras credenciales bancarias, creo que las falsas apps bancarias son igual de peligrosas.
¿Qué consejo elegirías de tu white paper como el más útil?
Veo tres principios fundamentales para evitar el malware bancario en Android.
El primero, mantenerse alejado de las tiendas de aplicaciones no oficiales en la medida de lo posible, y siempre mantener deshabilitada en tu dispositivo la función “instalación de apps de fuentes desconocidas”.
En segundo lugar, prestar atención a las imágenes de las aplicaciones en Google Play, y continuar prestando atención a su comportamiento luego de instaladas. Comentarios negativos y permisos que no están conectados a la función de la aplicación son las principales señales de alerta.
Finalmente, solo descargar aplicaciones bancarias o financieras si el sitio web oficial de la entidad bancaria o institución financiera contiene un enlace para descargar la aplicación.
Actualmente, este enfoque –de descargar puntualmente aplicaciones que se están buscando en lugar de instalar apps que uno descubre por casualidad– puede que sea la forma de evitar el malware en general.