¿Usted ya ingresó al sistema de banca online a través de su computadora o teléfono? Si su respuesta es sí, preste atención a un tipo de amenaza que ha estado mejorando y que se ha vuelto más eficaz con el tiempo: los troyanos bancarios. Esta amenaza puede ser detectada en varias partes del mundo y en varios países de América Latina, pero tal como hemos visto en años anteriores, tiene una presencia muy fuerte en Brasil.

Como vimos en varios reportes publicados a lo largo de 2018, en reiteradas oportunidades los cibercriminales han logrado evadir los controles de seguridad de Google Play para infiltrarse con aplicaciones que simulan ser reales pero que funcionan como troyanos bancarios. En esta oportunidad, analizamos los informes y métricas correspondientes al período de enero a marzo de 2019 elaborados a partir de nuestras soluciones de seguridad y observamos que un tipo de troyano bancario denominado Banload, viene afectando a varios países de América Latina, pero por sobre todas las cosas a Brasil.

Porcentaje de detecciones de troyano bancario Banload durante el primer trimestre de 2019 a nivel global.

Si bien los troyanos bancarios son utilizados por los criminales con el objetivo de obtener un retorno económico, este tipo de amenaza digital va un poco más allá, ya que intentan robar información bancaria de sus víctimas para realizar operaciones ilegales que pueden llegar hasta el secuestro de las cuentas.

Si desea obtener más información acerca de cómo funcionan los troyanos bancarios sofisticados y en qué se diferencian de las falsas apps bancarias, invitamos a leer la siguiente entrevista con el investigador de ESET Lukáš Štefanko, quien publicó un detallado informe sobre el malware bancario dirigido a dispositivos Android.

Cantidad de variantes de troyanos bancarios en América Latina

A nivel regional, después de Brasil, Perú es el país en el que más cantidad de variantes de troyanos bancarios se han detectado, seguido por México, Argentina y Colombia.

Países con mayor cantidad de variantes de troyanos bancarios identificadas en el primer trimestre de 2019

Cómo se oculta este tipo de amenaza

Al igual que muchas otras amenazas, generalmente intentan disfrazarse para que la víctima crea que está ante información legítima y que de esta manera esté dispuesta a seguir determinadas instrucciones o abrir algún archivo en particular que envío el atacante. En este sentido, los medios más comunes para la propagación de troyanos bancarios son:

#Phishing

Se trata de un correo electrónico diseñado para que parezca a un correo electrónico legítimo de alguna empresa, a veces incluso de una sucursal, y normalmente piden que la víctima descargue algún archivo y/o pinche en algún enlace que viene en el cuerpo del correo. La infección se inicia a partir de ahí. A continuación, un ejemplo de este tipo de correos que identificamos en Brasil el pasado mes de abril.

Ejemplo de un reciente correo de phishing en Brasil que suplanta la identidad de un banco local

Ejemplo de un reciente correo de phishing en Brasil que suplanta la identidad de un banco local

#Aplicaciones

Desde hace ya un tiempo que las aplicaciones bancarias vienen ganando cada vez más espacio entre los usuarios, sustituyendo casi todas las operaciones que antes eran ejecutadas personalmente o como mucho por Internet. Sabiendo esto, los delincuentes se están centrando cada vez más en crear aplicaciones malintencionadas que fingen ofrecer una funcionalidad a la víctima que en realidad no brindan, y lo que hacen en realidad es recopilar datos bancarios.

Troyanos bancarios descubiertos en Google Play que se presentaban como apps que ofrecían una funcionalidad útil

#Archivos

“El primer episodio de la última temporada de Games of Thrones” o cracks para activar programas conocidos, como Microsoft Office, entre tantos otros, son el tipo de archivos que parecen ser inofensivos; sin embargo, esconden trampas preparadas por actores maliciosos.

En el caso puntual de Brasil y particularmente del troyano bancario Banload, durante los tres primeros meses del año los cibercriminales utilizaron distintos formatos de archivos ejecutables como medio para intentar propagar este troyano, siendo Win32 el formato de ejecutable más utilizado con un 67.95%, seguido por Java (20.05%), MSIL (5,03%), JS (4,12%), VBS (1,84%) y HTML (1,01%).

Familias de troyanos bancarios que más afectan a Brasil

Sabiendo que, en el caso de Brasil, Banload como troyano es un medio para distribuir diversos tipos de malware, analizamos cuáles son las principales familias de troyanos bancarios presentes en Brasil. En este sentido, la familia ClientMaximus es la familia de troyanos con más detecciones (40%) en este país durante el primer trimestre de 2019.

ClientMaximus es la familia de troyanos bancarios con mayor cantidad de detecciones en Brasil

Cómo funciona el ClientMaximus

A pesar de hablar aquí de una familia en particular como ClientMaximus, el funcionamiento de los troyanos bancarios como amenaza suele ser bastante similar. Algunos presentan más o menos funcionalidades, buscan camuflarse de formas diferentes, pero su funcionamiento en el momento de la extracción de la información de las víctimas suele ser muy parecida entre las distintas familias. A continuación, un panorama general de cómo opera ClientMaximus.

  • Al infectar a la víctima el malware generalmente se esconde, en este caso se camufla como una DLL usada por otros programas legítimos. Este tipo de ataque se llama secuestro de DLL, o DLL hijack en inglés.
  • Después de la infección, una vez que la víctima accede a sitios de una de las instituciones bancarias que el malware está monitoreando, el atacante puede tomar acciones en el host de la víctima. Cuando el acceso legítimo al banco se lleva a cabo, el criminal pasa a tener acceso a las funciones bancarias de la víctima y puede manipularlas como considere.
  • Incluso, si el delincuente no ha almacenado datos de sesión o de acceso, todavía puede mantener una sesión con el banco a través de la víctima, o puede esperar hasta que la víctima haga otra transacción en uno de los sitios monitoreados para obtener más recursos financieros.

Estos tres pasos también permiten que el criminal pueda configurar un medio de acceso permanente al dispositivo de su víctima, haciendo que las interacciones del usuario con el banco ya no sean necesarias para que el control ocurra.

Familias de troyanos más prevalentes en Lationoamérica

Prevalencia de troyanos bancarios en Latinoamérica, sin incluir a Brasil

A diferencia del escenario de Brasil, en Latinoamérica Mekotio, con el 25% de las detecciones, es la familia de troyanos bancarios más prevalente en la región durante el primer trimestre de 2019, seguida por IcedId (18%), Zumanek (17%), Tuscas (13%), Danabot (10%), Casbaneiro (9%) y otras (7%).

Cómo protegerse

Es necesario mantenerse alerta para que los criminales nunca tengan éxito en sus intentos. Para aumentar la probabilidad de éxito en la tarea de estar protegido, que es siempre bastante ardua, ofrecemos siete consejos de seguridad que ayudarán a impedir que los ataques sean exitosos.

  • No utilice programas que realizan la activación ilegal, también conocidos como cracks.
  • Siempre vea películas y series por medios oficiales.
  • Preste atención a los correos electrónicos que recibe y observe si el remitente y los enlaces presentes en el mensaje pertenecen realmente a la empresa que dicen pertenecer.
  • Navegue por sitios de confianza o instale programas que sean capaces de filtrar la navegación a direcciones sospechosas.
  • Mantenga actualizados todos los programas que utiliza en su computadora o en su Smartphone.

Tenga cuidado al acceder a enlaces que se ofrecen en las aplicaciones de intercambio de mensajes, como WhatsApp, ya que como hemos visto en las últimas semanas, existen campañas maliciosas que se propagan por estas vías.

Por último, mantenga la solución de seguridad que tenga instalada siempre activa y configurada para bloquear las amenazas.