En 2020, los actores de ciberamenazas financieras podrían empezar a centrar su objetivo en aplicaciones de inversión, sistemas de procesamiento de datos financieros online y futuras criptomonedas, así como en proporcionar acceso de pago a las infraestructuras de los bancos y desarrollar nuevas cepas de malware para banca móvil mediante la filtración de código fuente. Estas son las principales predicciones de Kaspersky sobre el desarrollo del panorama de amenazas en el sector financiero

Las ciberamenazas financieras son consideradas como una de las más peligrosas, ya que su impacto suele provocar pérdidas económicas directas para las víctimas. El año 2019 ha sido testigo de algunos de los desarrollos más significativos en la industria y de cómo operan este tipo de atacantes financieros. Dichos eventos han permitido a los investigadores de Kaspersky predecir varios desarrollos potenciales importantes en el panorama de las amenazas financieras durante 2020:

• Ataques a Fintech. Las apps de inversión son cada vez más populares entre los usuarios de todo el mundo, tendencia que no pasará desapercibida para los cibercriminales en 2020. No todas estas aplicaciones utilizan las mejores prácticas de seguridad, como la autenticación multifactorial o la protección de la conexión de la aplicación, lo que proporciona a los ciberdelincuentes una forma potencial de atacar a sus usuarios.
• Nuevos troyanos para banca móvil. La investigación y la vigilancia de determinados foros por parte de Kaspersky sugieren que el código fuente de algunos de los troyanos más populares de banca móvil se filtró y son de dominio público. En anteriores ocasiones, el filtrado de código fuente de malware (por ejemplo, Zeus, SpyEye) dio lugar a un mayor número de nuevas variaciones de estos troyanos. En 2020 puede repetirse este patrón.
• Acceso de pago a la infraestructura bancaria y ataques ransomware a bancos. En 2020, los expertos de Kaspersky esperan un aumento de la actividad de los grupos especializados en la venta de accesos a la red de bancos de las regiones de África y Asia, así como de Europa del Este. Sus principales objetivos son los pequeños bancos y organizaciones financieras recientemente adquiridas por grandes compañías que están reconstruyendo su sistema de ciberseguridad de acuerdo con los estándares de sus empresas matrices. Además, se espera que los mismos bancos se conviertan en víctimas de ataques ransomware ya que este tipo de organizaciones tienen más probabilidades de pagar un rescate que de aceptar la pérdida de datos.
• Magecarting 3.0: más grupos de ciberdelincuentes se centrarán en los sistemas de procesamiento de pago online. En los últimos años, el llamado JS-skimming (el método de robo de datos de tarjetas de las tiendas online) ha ganado popularidad entre los atacantes. Actualmente, los investigadores de Kaspersky están al tanto de al menos 10 actores diferentes involucrados en este tipo de ataques y los expertos creen que su número continuará creciendo durante el próximo año. Los ataques más peligrosos se producirán contra las empresas que prestan servicios como los de comercio electrónico as-a-service, lo que pondrá en peligro a miles de compañías.

 
“Tal y como predijimos a finales de 2018, en 2019 se han producido importantes desarrollos: surgimiento de nuevos grupos de cibercriminales, como CopyPaste, nueva geografía en los ataques del grupo Silence, ciberdelincuentes que se centran en los datos que ayudan a eludir los sistemas antifraude en sus ataques, o datos de comportamiento y biométricos a la venta en el mercado del cibercrimen. Además, esperábamos que los ataques de base JS-skimmer aumentaran y así fue. Con 2020 en el horizonte, recomendamos a los equipos de seguridad de las áreas potencialmente afectadas de la industria financiera que se preparen para los nuevos desafíos. No hay nada inevitable en las potenciales amenazas que se avecinan, pero es importante estar bien preparado para ellas”, apunta Yuriy Namestnikov, investigador de seguridad de Kaspersky.

Además del sector financiero, los investigadores de Kaspersky identificaron otros sectores que afrontarán nuevos desafíos relacionados con la seguridad en el próximo año:

• Se aconseja a las organizaciones relacionadas con el sector sanitario que se centren en la protección de los registros médicos y los dispositivos médicos conectados, ya que se están convirtiendo en el objetivo de actores de amenazas.
• Los equipos de seguridad corporativa deberían prestar más atención a la infraestructura de la nube y también a los crecientes riesgos derivados del uso interno que se hace de sus redes. Hay grupos de delincuentes especializados en reclutar a empleados mediante diversas técnicas, incluido el blackmail o chantaje.
• Las telecomunicaciones y otras industrias que utilizan las comunicaciones móviles deben estar preparadas para evaluar y abordar los riesgos de una adopción más amplia del 5G, que se espera que comience en 2020. La lista completa de las predicciones de amenazas verticales de Kaspersky para 2020 está disponible en Securelist.

 

¿Puede una persona seguir utilizando la autenticación biométrica en sus dispositivos sin la preocupación de que le roben sus datos y sean mal utilizados? Para dar respuesta a esta pregunta, Kaspersky se ha asociado con un diseñador de accesorios 3D de Estocolmo y juntos han creado una pieza única de joyería que aúna tecnología y arte: un anillo que funciona como una extensión de la identidad digital de una persona y que está diseñado para mantener a salvo los datos biométricos únicos de los usuarios.

Actualmente, el cuerpo humano se está convirtiendo en la clave de la autenticación digital reemplazando a pines numéricos y contraseñas. Muchos servicios son ahora digitales y automatizados, por lo que nuestros datos biométricos únicos se han convertido en un elemento esencial a la hora de desbloquearlos: utilizamos nuestra huella dactilar o nuestro rostro para desbloquear el teléfono móvil, para hacer pagos e incluso para acceder a nuestro hogar u oficina. Nuestros datos biométricos son únicos: solamente hay una persona en el mundo con esas huellas dactilares, rasgos faciales o iris oculares, y el uso generalizado de datos biométricos implica que se almacenen en numerosos lugares en distintas condiciones. A diferencia de las contraseñas, si los datos biométricos se ven comprometidos se pierden para siempre y no se pueden restablecer, como sí ocurre con una contraseña.

Desafortunadamente, este no es solo un problema teórico. En 2015, la Oficina de Gestión de Personal (OPM) de Estados Unidos fue hackeada y provocó la filtración de 5,6 millones de huellas dactilares. Más recientemente, más de un millón de huellas dactilares fueron descubiertas en una base de datos de acceso público empleada por la policía de Reino Unido, contratistas militares y bancos. Ambos casos se suman a la lista de ejemplos en los que los investigadores han demostrado que existen esquemas de pruebas de concepto que permiten el robo de huellas dactilares con la ayuda de cámaras digitales y otras herramientas disponibles.

La investigación de Kaspersky destaca también que los datos biométricos corren el riesgo de verse comprometidos. Una reciente revisión de las ciberamenazas a los sistemas empleados para procesar y almacenar los datos biométricos muestra que se han encontrado varias amenazas intentando infectar los sistemas de TI (incluyendo troyanos de acceso remoto, ransomware, troyanos bancarios, etc.). Solamente en el tercer trimestre del año 2019, en torno al 37% de estos ordenadores hicieron frente a alguna de estas amenazas en al menos una ocasión. ¿Significa esto que la gente debería dejar de utilizar esta tecnología para proteger sus datos biométricos del abuso de terceros? En absoluto.

Kaspersky se ha asociado con el diseñador de accesorios 3D, Benjamin Waye y la agencia creativa Archetype para crear una pieza de joyería única: un anillo con un patrón de huellas dactilares artificiales válido para la autenticación.

Este anillo es solo una de las posibles soluciones para proteger los datos biométricos en un entorno en los que no existe una total garantía de que estos datos sean almacenados por terceros de forma responsable. Con este tipo de accesorio, las personas pueden desbloquear su teléfono y utilizar otros sistemas que requieren autenticación a través de una huella dactilar sin la preocupación de que sus datos biométricos sean robados. A diferencia de una huella dactilar real, la artificial puede ser cambiada y reajustada. En el caso de que sus datos biométricos se filtren debido a un ataque, el anillo puede ser reemplazado por un nuevo patrón artificial, por lo que sus datos personales únicos estarán siempre seguros.

“Al combinar elementos de arte y tecnología, el anillo hace que la persona que lo lleve destaque entre la multitud como un visionario. Se trata de un enfoque diferente del habitual cuando llevamos joyas, y resulta mucho más práctico. No solo es una pieza bella, sino que ha sido diseñada con el objetivo de ayudar a resolver un problema bastante grave en nuestras vidas. Ayuda a preservar nuestra singularidad en un mundo donde todo puede ser copiado”, señala Benjamin Waye, el diseñador de accesorios 3D responsable del diseño del anillo.

“Aunque el anillo es solo una de las posibles formas de abordar los actuales problemas de ciberseguridad relacionados con la biometría, no se trata de una solución mágica. La solución real consistiría en crear normas y tecnologías que garanticen la protección de la identidad única de cada persona. Esta solución aún no se ha desarrollado y, para ser sincero, la situación actual en torno a la seguridad de la biometría no está donde debería. Sin embargo, con la creciente adopción de estas tecnologías, es muy importante que comencemos a hablar con los sectores competentes para desarrollar un enfoque colaborativo que garantice la protección de estos datos”, apunta Marco Preuss, director del equipo de Investigación y Análisis Global de Europa de Kaspersky.   

Kaspersky cree que el panorama actual de la ciberseguridad requiere un enfoque drásticamente distinto: una transición desde la ciberseguridad hacia la ciberinmunidad, en la que los sistemas se diseñen y construyan para ser seguros desde el principio y no que incluyan la seguridad como un complemento. Este es el futuro por el que la compañía está trabajando a través del desarrollo de Kaspersky Secure OS, que ha sido diseñado para hacer que las tecnologías sean ciberinmunes.

A medida que el Black Friday continúa ganando popularidad, los consumidores online son más propensos a convertirse en víctimas de los ciberataques, tal y como señala un nuevo informe de Kaspersky, en el que se revela que el número de ataques a usuarios de comercios electrónicos se ha incrementado un 15% respecto al año pasado. Asimismo, Amazon ha lanzado una semana extra de descuentos antes del viernes 29 de noviembre, fecha en la que se celebra el Black Friday este año, ampliando así el panorama de amenazas.

El Black Friday se ha convertido en el mayor evento de consumo del año, el 95% de los compradores son conscientes de ello. Sin embargo, la tendencia de los usuarios se ha visto modificada, ya que en el pasado los consumidores acudían a los comercios físicos durante el Black Friday y a los sitios online durante el Cyber Monday, estrenado en el año 2005. Las cifras globales del Black Friday actuales revelan que solamente el 12% de los consumidores hicieron sus compras única y exclusivamente en las tiendas físicas. El constante incremento de las aplicaciones de los comercios online y el prematuro acceso a las ofertas desde la comodidad del hogar han propiciado que los usuarios se decanten por el comercio electrónico. De hecho, un 56% de los consumidores prefiere comprar online a comprar físicamente y el 55% usa sus teléfonos móviles para realizar las transacciones durante el fin de semana del Black Friday. Este incremento en el número de compras online, sumado a la mayor duración del periodo de descuentos y promociones, generan una ventana más amplia para los ciberataques.

Un nuevo informe de Kaspersky destaca el creciente peligro para los consumidores durante estos días de compras, en los que la probabilidad de sufrir un ataque de phishing financiero aumenta un 24% en comparación con la media del resto del año. Con la esperanza de que los consumidores bajen la guardia, los ciberdelincuentes aumentan su actividad, y casi un centenar de sitios web y apps se convierten en el blanco de estas actividades maliciosas.

Según los expertos de Kaspersky, durante los nueve primeros meses de 2019, los usuarios de algunas de las marcas más populares fueron atacados con al menos quince familias distintas de malware financiero. Este año, además de las conocidas familias de malware financiero Zeus, Betabot o Cridex Gozi, Kaspersky ha identificado también otras dos nuevas: Anubis y Gustuff. Los ciberdelincuentes se dirigen a las marcas de comercio online para conseguir las credenciales de los usuarios, como logins, contraseñas, números de tarjeta, teléfono etc. Capturan los datos de la víctima tras interceptar los registros de entrada en la página web, modificando el contenido del sitio y redirigiendo a los usuarios a otras páginas web de phishing. Por ello, los usuarios han de prestar mayor atención si cabe y las plataformas de comercio electrónico han de ayudar a mantener la seguridad de sus clientes.

‘‘A medida que se acerca el Black Friday y el Cyber Monday, los usuarios deben estar aún más alerta. Se trata de una temporada de alta actividad para los ciberdelincuentes, que están al acecho para robar datos personales, el número de la tarjeta o las credenciales de las cuentas bancarias. Con el fraude financiero en su punto más alto en toda la historia, la gente necesita estar segura de que sus datos y su información personal está a salvo, o cada vez se inclinará menos por comprar online. Es aquí donde las empresas también tienen un papel por desempeñar, dando un paso atrás y reevaluando su estrategia TI para garantizar que existe un plan de seguridad con un ciclo de vida completo que incluya educación para los empleados, una mejor defensa para protegerse de los ciberataques y herramientas más fiables para la detección de ataques de día cero. También existen otros sencillos pasos para los consumidores que pueden seguir evitando que el Black Friday se convierta en la época más peligrosa del año en el e-commerce’’, señala David Emm, investigador principal de Seguridad de Kaspersky.

Antes de dejarse llevar por las gangas que ofrece el Black Friday, los compradores pueden probar sus conocimientos de seguridad con la nueva herramienta interactiva de Kaspersky. Además, Kaspersky recomienda seguir los siguientes consejos para estar a salvo, o mantener a los clientes seguros, cuando compran online.

Si eres un consumidor

• Invierte en una solución de ciberseguridad para proteger todos los dispositivos que utilizas para comprar online.
• Haz copias de seguridad de tus datos regularmente para evitar que tus archivos personales se pierdan en caso de que seas objeto de un ciberataque.
• Mantén Windows y otras aplicaciones actualizadas.
• Utiliza contraseñas únicas para cada cuenta online. Si te resulta demasiado complicado, utiliza un gestor de contraseñas.
• Ten más cuidado cuando utilices tu dispositivo móvil para realizar compras online. Las URLs acortadas, a menudo utilizadas porque son fáciles de usar por teléfono, pueden ocultar que te redirigen a un sitio sospechoso/peligroso. Si tienes que realizar una compra en ese momento, apaga la conexión Wi-Fi y utiliza los datos del móvil. De lo contrario, espera hasta que estés en una conexión segura.
• Evita comprar en sitios web que parezcan sospechosos o falsos, sin importar lo buenas que sean sus ofertas en este Black Friday.
• No hagas clic en enlaces desconocidos, ni siquiera de personas que conozcas, a menos que estuvieras esperando dicho mensaje.
• Piensa en cuánto dinero quieres gastar en una compra online de una sola vez y no sobrepases ese límite.
• Reduce la cantidad de fondos que tienes en tus cuentas bancarias online, o utiliza una tarjeta de prepago para los pagos online.
• Restringe el número de intentos de transacción en tu tarjeta bancaria.
• Activa y utiliza siempre la autenticación de dos factores (Verified by Visa, MasterCard Secure Code, etc.)

 
Si eres una marca o un comercio online

• Utiliza un servicio de pago de buena reputación y mantén actualizado el software de tu plataforma de pago online. Cada nueva actualización puede contener parches críticos para que el sistema sea menos vulnerable a los ciberdelincuentes.
• Utiliza una solución de TI y de ciberseguridad para proteger tu negocio y a tus clientes.
• Presta atencion a la información personal utilizada por tus clientes. Utiliza una solución de prevención de fraudes que se adapte al perfil de tu empresa y al de tus clientes.

Kaspersky ha detectado una nueva vulnerabilidad en el navegador Google Chrome conocida como CVE-2019-13720, y que ya ha sido reportada a Google. Tras la revisión del PoC, Google ha confirmado que se trata de una vulnerabilidad de día cero, es decir, desconocida por los desarrolladores hasta ese momento y ha liberado un parche.

Las vulnerabilidades de día cero son errores de software desconocidos que pueden ser explotados por atacantes para infligir daños graves e inesperados. El nuevo ataque se inició en un portal de noticias coreano en el que los atacantes insertaron un código JavaScript malicioso en la página principal que, a su vez, carga un script de creación de perfiles desde un sitio remoto para verificar si el sistema de la víctima podría infectarse al examinar las versiones de las credenciales de usuario del navegador. En este caso, a los ciberdelincuentes les interesa la versión 65 o posterior de Google Chrome para Windows.

Si el sistema operativo y el navegador cumplen con los requisitos, el script descarga el exploit por fragmentos, después los ensambla y los descifra. Lo primero que hace este exploit es comprobar la versión de Chrome. En esta etapa, se vuelve más selectivo y funciona exclusivamente con Chrome 76 o 77, aunque es posible que existan otros exploits para las diferentes versiones del navegador.

Tras encontrar lo que busca, el exploit intenta aprovechar la vulnerabilidad CVE-2019-13720, de tipo use-after-free y que se basa en el uso inapropiado de la memoria del ordenador. Al manipular la memoria, el exploit obtiene permiso para leer y escribir datos en el dispositivo, que usa inmediatamente para descargar, descifrar y ejecutar el malware.

El exploit detectado ha sido utilizado en lo que los expertos de Kaspersky han denominado “Operación WizardOpium“. Ciertas similitudes en el código apuntan a un posible vínculo entre esta campaña y los ataques del grupo Lazarus. Además, el perfil del sitio web objetivo es similar al que se ha encontrado en ataques previos de DarkHotel, que recientemente ha desplegado ataques similares de falsa bandera.

La vulnerabilidad ha sido detectada por la tecnología de Prevención de Exploits de Kaspersky, integrada en la mayoría de los productos de la compañía y lo detecta como PDM: Exploit.Win32.Generic.

“El hallazgo de una nueva vulnerabilidad de día cero en Google Chrome en estado “in the wild” demuestra una vez más lo esencial que es la colaboración entre la comunidad de seguridad y los desarrolladores de software, así como la inversión constante en tecnologías de prevención de exploits para mantenerse a salvo de los ataques repentinos y ocultos de los actores de la amenaza“, explica Anton Ivanov, experto en seguridad de Kaspersky.

Ante estos ataques, Kaspersky recomienda tomar las siguientes medidas de seguridad:

• Instale el parche de Google para la nueva vulnerabilidad lo antes posible.
• Asegúrese de actualizar todo el software utilizado en su organización de forma regular y siempre que se publique un nuevo parche de seguridad. Los productos de seguridad con capacidades de evaluación de vulnerabilidades y gestión de parches incorporadas pueden ayudar a automatizar estos procesos.
• Elija una solución de seguridad probada, como Kaspersky Endpoint Security for Business, que cuente con capacidades de detección basadas en el comportamiento para una protección eficaz contra amenazas conocidas y desconocidas, incluidos los exploits.
• Además de una protección básica de los endpoints, implemente una solución de seguridad corporativa que detecte amenazas avanzadas a nivel de red en una fase temprana, como la plataforma Kaspersky Anti Targeted Attack Platform.
• Asegúrese de que su equipo de seguridad tiene acceso a la información más reciente sobre ciberamenazas. Los informes sobre los últimos desarrollos en el panorama de amenazas están disponibles para los clientes de Kaspersky Intelligence Reporting.
• Por último, pero no por ello menos importante, asegúrese de que su personal cuenta con la formación necesaria para comprender e implementar los principios básicos de higiene de ciberseguridad.

 
Para más detalles sobre el nuevo exploit, lea el informe en Securelist.

La influencia que los robots “sociales” ejercen sobre las personas y la inseguridad que esto puede ocasionar no deben subestimarse. Una investigación llevada a cabo por Kaspersky y la Universidad de Gante ha demostrado que los robots pueden extraer de forma efectiva información sensible de las personas que se fían de ellos, persuadiéndoles para que actúen de forma peligrosa. Por ejemplo, en ciertas situaciones, la presencia de un robot puede tener un gran impacto en la voluntad de la gente para permitir el acceso a edificios.

El mundo está evolucionando con gran rapidez hacia una mayor digitalización y movilidad de los servicios, y son muchas las industrias y hogares que confían en la automatización y en el uso de sistemas robóticos. De hecho, y según el informe de Allianz Partners, estos sistemas robóticos se convertirán en una tendencia en los hogares con mayor poder adquisitivo en 2040. En la actualidad, la mayoría de estos sistemas se encuentran en fase de investigación académica y es demasiado pronto para discutir cómo integrar medidas de ciberseguridad en ellos. Sin embargo, el experimento llevado a cabo por Kaspersky y la Universidad de Gante ha descubierto una nueva e inesperada dimensión de riesgo asociada con la robótica: el impacto social que tiene en el comportamiento de las personas, así como el peligro potencial y los nuevos vectores de ataque.

La investigación se centró en el impacto producido por un robot diseñado y programado para interactuar con personas utilizando canales “humanos” tales como el habla o la comunicación no verbal. En la investigación participaron unas 50 personas. Asumiendo que los robots sociales pueden piratearse, y que un atacante puede tomar el control, la investigación contempló los riesgos potenciales de seguridad relacionados con la posibilidad de que un robot influya activamente en los usuarios para que realicen ciertas acciones, entre ellas:

• Acceso a zonas restringidas. El robot fue situado cerca de una entrada de seguridad de un edificio de uso mixto (viviendas y oficinas) en el centro de la ciudad de Gante, Bélgica, y preguntó al personal si podía entrar con ellos. Normalmente, sólo se puede acceder al área a través de unas puertas con lectores de acceso. Durante el experimento, no todo el personal cumplió con la petición del robot, aunque un 40% le abrió la puerta para permitirle el acceso a la zona “segura” del edificio. Pero cuando el robot se situó como repartidor de pizza, sosteniendo una caja de una conocida marca de comida a domicilio, el personal aceptó fácilmente el cometido del robot y cuestionó menos  su presencia o las razones por las que necesitaba tener acceso al edificio.
• Extraer información sensible. La segunda parte del estudio se centró en la obtención de información personal que normalmente se utilizaría para restablecer contraseñas (incluyendo fecha de nacimiento, marca del primer coche, color favorito, etc.). Una vez más, se utilizó el robot, esta vez invitando a la gente a tener una conversación amistosa. Con todos menos con uno de los participantes, los investigadores lograron obtener información personal a un ritmo de aproximadamente un dato por minuto.

 
En relación con los resultados del experimento, Dmitry Galov, Investigador de Seguridad de Kaspersky, comenta: “Al principio de la investigación examinamos el software utilizado en el desarrollo de sistemas robóticos. Curiosamente, descubrimos que los diseñadores toman la decisión consciente de excluir los mecanismos de seguridad y se centran en la comodidad y la eficiencia. Sin embargo, como han demostrado los resultados de nuestro experimento, los desarrolladores no deberían olvidarse de la seguridad una vez finalizada la fase de investigación. Además de las consideraciones técnicas, hay aspectos clave de los que preocuparse cuando se trata de la seguridad en la robótica. Esperamos que nuestro proyecto conjunto y nuestra incursión en el campo de la ciberseguridad robótica con nuestros compañeros de la Universidad de Gante anime a otros a seguir nuestro ejemplo y a sensibilizar a la opinión pública y a la comunidad sobre el tema“.

Tony Belpaeme, profesor de Inteligencia Artificial y Robótica en la Universidad de Gante, añe: “La literatura científica indica que la confianza en los robots, y específicamente en los robots sociales, es real y puede utilizarse para persuadir a la gente a actuar o revelar información. En general, cuanto más humano es el robot, más poder tiene para persuadir y convencer. Nuestro experimento ha demostrado que esto podría conllevar riesgos de seguridad significativos: la gente tiende a no considerarlos un riesgo, asumiendo que el robot es benevolente y fiable. Esto ofrece una potencial entrada para ataques maliciosos y los tres casos de estudio que se analizan en el informe son sólo una mínima parte de los riesgos de seguridad asociados a los robots sociales. Por ello, es crucial colaborar ahora para comprender y abordar los riesgos y vulnerabilidades emergentes, ya que dará sus frutos en el futuro“.

El informe “El potencial de los robots sociales para la persuasión y la manipulación: un estudio de prueba de concepto” está disponible en Securelist.

El informe “Vivir de forma súper inteligente: la casa de mediados del siglo XXI” está disponible en Allianz-Partners.

Los expertos de Kaspersky han descubierto que MobOK -malware para el robo de dinero- se ocultaba en aplicaciones de edición de fotos aparentemente legítimas disponibles en la tienda de Google Play. En el momento del hallazgo, las aplicaciones ‘Pink Camera’ y ‘Pink Camera 2′ se habían instalado unas 10.000 veces. Estas aplicaciones fueron diseñadas para robar información personal y utilizarla para inscribir a los usuarios a servicios de suscripción de pago. Las víctimas solo descubrían el robo cuando en su factura de servicios móviles aparecían costes inesperados. Ambas aplicaciones se han eliminado de la tienda de Google Play y ya no están disponibles.

El malware de MobOk es un backdoor (troyano de puerta trasera), uno de los tipos de malware más peligrosos, ya que ofrece al atacante un control casi total sobre el dispositivo infectado. A pesar de que el contenido subido a Google Play se filtra de manera exhaustiva, no es la primera vez que las amenazas llegan a los dispositivos de los usuarios. En muchos casos, los backdoors llevan una capa semi-funcional, que a primera vista parece ser un intento pobre, pero inocente, de crear una aplicación legítima. Por esta razón, las aplicaciones de Pink Camera no despertaron sospechas, ya que incluían funcionalidades de edición de fotos auténticas y habían sido descargadas de la tienda de Google Play.

Sin embargo, tan pronto como los usuarios comenzaban a editar sus imágenes utilizando las aplicaciones de Pink Camera, estas solicitaban acceso a las notificaciones y esto inició la actividad maliciosa en segundo plano. El objetivo era suscribir al usuario a servicios de suscripción móvil. Estos suelen parecer páginas web que ofrecen un servicio a cambio de un pago diario que se carga a la factura del teléfono móvil. Este modelo de pago fue desarrollado originalmente por los operadores de redes móviles para facilitar a los clientes la suscripción a servicios premium, pero hoy en día, a veces, es objeto de abuso por parte de los ciberdelicuentes.

Una vez infectada la víctima, el malware MobOk recopilaba información del dispositivo, como el número de teléfono asociado, para explotar esta información en posteriores etapas del ataque. Luego, los atacantes enviaban al dispositivo infectado detalles de las páginas web con servicios de suscripción de pago y el malware los abría, actuando como un navegador secreto en segundo plano. Utilizando el número de teléfono extraído anteriormente, el malware lo insertba en el campo “subscribirse” y confirmaba la compra. Al tener el control total del dispositivo y poder comprobar las notificaciones, el malware introducía el código de confirmación del SMS cuando llegaba, todo ello sin avisar al usuario. La víctima comenzaba a incurrir en gastos y continuaba haciéndolo hasta que detectaba los pagos en su factura telefónica y cancelaba la suscripción a cada servicio.

“La capacidad de edición de fotos de las apps Pink Camera no era muy impresionante, pero lo que podían hacer entre bastidores era notable: suscribir a personas a servicios maliciosos y lucrativos en ruso, inglés y tailandés, monitorizar los mensajes de texto y solicitar el reconocimiento de los servicios online de Captcha (el código que hay que escribir para demostrar que no es un robot). Esto significa que también tenía el potencial de robar dinero de las cuentas bancarias de las víctimas. Nuestra teoría es que los atacantes detrás de estas aplicaciones crearon tanto los servicios de suscripción -no todos los cuales eran auténticos- como el malware que enganchaba a los suscriptores, y los diseñaron para llegar a una audiencia internacional“, señala Igor Golovin, investigador de seguridad de Kaspersky.

Kaspersky Lab detecta el malware de MobOk como HEUR:Trojan.AndroidOS.MobOk.a

Para evitar este tipo de aplicaciones maliciosas, los investigadores de Kaspersky aconsejan lo siguiente:

• Recuerde que incluso una fuente fiable, como una tienda oficial de aplicaciones, puede contener aplicaciones peligrosas. Esté atento y compruebe siempre los permisos para ver todo lo que las aplicaciones instaladas pueden hacer. Compruebe las valoraciones y revisiones en las tiendas oficiales, como Google Play o App Store. Las aplicaciones maliciosas a veces reciben bajas calificaciones y los usuarios publican comentarios que advierten a otros sobre el riesgo de malware. Si está a punto de instalar una aplicación de este tipo, preste especial atención a sus solicitudes de permiso.
• Instale las actualizaciones del sistema y de las aplicaciones tan pronto como estén disponibles: parchean las vulnerabilidades y mantienen los dispositivos protegidos.
• Utilice una solución de seguridad fiable para una protección completa frente a una amplia gama de amenazas.