Navegando por las aguas turbias del malware bancario para Android

En 2018 se registró uno gran candid de malware bancario en la plataforma de Android. Los cibercriminales no solo apuntaron constantemente a estos usuarios con troyanos bancarios y aplicaciones bancarias fraudulentas, sino que también experimentaron con nuevas modalidades para robar dinero.

Para ayudar a los usuarios a navegar por este complejo escenario de amenazas dirigidas a usuarios de dispositivos Android, el investigador de seguridad de ESET, Lukáš Štefanko, explicó cuáles son actualmente los tipos de amenazas, tácticas y técnicas más prevalentes en el malware bancario para Android en su libro blanco: "Malware bancario en Android: Troyanos sofisticados vs. Aplicaciones bancarias falsas”.

Conversamos con Lukáš y le hicimos algunas preguntas sobre su última publicación.

¿Por qué decidiste enfocarte en este tema con tanto detalle?

Un trabajo diario con las aplicaciones maliciosas que se esconden detrás de las credenciales bancarias de los usuarios de Android. Si utilizan muchos tipos de engaño, técnicas y métodos de distribución, por su forma de operar se puede hacer una división entre dos grandes grupos, como se sugiere en el título del libro blanco. La diferencia puede no resultar del todo clara para los usuarios regulares de Android, por eso pretendemos explicarlo con más detalle.

Entonces, troyanos bancarios sofisticados y falsas apps bancarias. ¿Por qué es tan importante que los usuarios estén familiarizados con esta diferencia?

Si los usuarios saben a qué se enfrentan, considero que tienen más posibilidades de estar protegidos. Ambas categorías pueden tener el mismo objetivo -robar credenciales o dinero de las cuentas bancarias de sus víctimas-, pero sus estrategias para alcanzar tales objetivos son muy diferentes. Y esto significa que las formas de prevención o eliminación de amenazas también serán diferentes para cada categoría.

¿Podría explicar las diferentes estrategias para alguien que recién se introduce en el tema?

Los troyanos bancarios son deshonestos: intentan hacer que los usuarios los instalen haciéndoles creer que se trata de algo divertido o útil, y totalmente inofensivo. Piense en juegos, administradores de batería, aplicaciones climáticas, reproductores de video y muchos otros tipos de aplicaciones. Procurarán mantener ocultos a los usuarios mientras cobran los derechos y permisos necesarios para el gran final. Luego, cuando el usuario menos lo espera, slizan una falsa pantalla de inicio de sesión sobre una app bancaria gítima y esta manera los datos ingresados. Las víctimas pueden que no se den cuenta de que algo está pasando, hasta que descubren que desapareció dinero de sus cuentas.

Pobre de mí aplicaciones bancarias falsas son más simples: todas intentan convencer a los usuarios que son las aplicaciones bancarias legítimas. Una vez instalados y ejecutados, presentan un formulario para el inicio de la sesión, tal como lo haría una aplicación bancaria real. Y, como probablemente ya ha adivinado, las credenciales ingresadas al formulario son recogidas.

¿Cuáles son las posibilidades de que un usuario caiga en la trampa de una aplicación bancaria falsa?

Yo diría que las chances son menores que con troyanos bancarios, pero en estos días algunas aplicaciones pueden verse bastante confiables a pesar de ser falsas. Quizás, más importante que saber cuántos usuarios instalan malware es saber cuántos de ellos se convierten en víctimas, y las probabilidades son altas en el caso de las aplicaciones bancarias falsas. Esto es porque los usuarios installan estas aplicaciones creyendo que están instalando una app bancaria actual, lo que predispone a ingresar sus credenciales al ver una pantalla de inicio de sesión.

¿Se considera que una de estas categorías es más peligrosa que la otra?

Desde el punto de vista técnico, sí, los troyanos bancarios son más robustos y cada vez más híbridos. Esto quiere decir que sus capacidades van más allá de solo robar las credenciales bancarias, ya que, por ejemplo, pueden tener funciones para espiar o capacidades tipo ransomware. Pero si estamos hablando del peligro de que roben una de nuestras credenciales bancarias, creo que las aplicaciones falsas bancarias son igual de peligrosas.

¿Qué consejo elegírias de tu white paper como el más útil?

Veo tres principios fundamentales para evitar la banca de malware en Android.

En primer lugar, manténgase alejado de las tiendas de aplicaciones no oficiales tanto como sea posible y mantenga siempre desactivada la función de "instalación de aplicaciones de fuentes desconocidas" en su dispositivo.

En segundo lugar, presta atención a las imágenes de las aplicaciones en Google Play y continúa prestando atención a su comportamiento después de la instalación. Los comentarios negativos y los permisos que no están relacionados con la función de la aplicación son las principales señales de advertencia.

Finalmente, descargue aplicaciones bancarias o financieras únicamente si el sitio web oficial de la entidad bancaria o financiera contiene un enlace para descargar la aplicación.

Actualmente, este enfoque, de descargar puntamente aplicaciones que se están buscando en el lugar de instalación de aplicaciones que uno descubre por casualidad, puede ser la forma de evitar el malware en general.