BankBot & Friends: Clientes móviles de phishing como usted pronto

En abril de 2017, los investigadores descubrieron una nueva forma de malware dirigido a Android que utiliza pantallas superpuestas falsas para imitar las aplicaciones bancarias existentes y robar las credenciales de los usuarios. Distribuidas como aplicaciones benignas en Google Play, las aplicaciones infectadas por BankBot se hacían pasar por 20 aplicaciones de entretenimiento y banca móvil. Esta primera versión de BankBot estaba dirigida a un pequeño número de instituciones.

En octubre de 2017, el miedo aumentó cuando las variantes de BankBot se infiltraron en más de 150 bancos en 27 países diferentes. Los profesionales de la seguridad comenzaron a preguntarse cuándo, en lugar de si, los enfoques tipo BankBot se extenderían por todo el mundo.

Si bien existen algunas variaciones regionales (por ejemplo, aquellas dirigidas a bancos en la región GCC), BankBot es fundamentalmente un ataque de phishing móvil. Una vez que se instala y se ejecuta en el dispositivo, BankBot suplanta las credenciales de los usuarios de la siguiente manera:

1. Comprobación de la información del paquete de aplicaciones instaladas en el dispositivo para una de las aplicaciones bancarias específicas.
2. Si se encuentra uno, BankBot se conecta a su servidor C&Ccarga el nombre y la etiqueta del paquete de destino y envía una URL para la biblioteca que contiene los archivos utilizados para la página web superpuesta.
3. BankBot monitorea el dispositivo para el lanzamiento de cualquier aplicación del banco de destino. El malware muestra la página de superposición en la parte superior de la aplicación legítima cuando se ejecuta la aplicación.
4. El superposición engaña al usuario haciéndoles creer que están usando la aplicación legítima, y ​​suplanta/roba las credenciales del usuario.

Eso no tomó mucho tiempo…

Parece que esa gente de seguridad no tuvo que esperar mucho. Ahora hay un conjunto adicional de troyanos bancarios. Los troyanos ahora están dirigidos a varios bancos polacos. Según la investigación, estas variantes se disfrazaron como aplicaciones aparentemente legítimas «Crypto Monitor», una aplicación de seguimiento de precios de criptomonedas, y «StorySaver», una herramienta de terceros para descargar historias de Instagram. También utilizaron el mismo enfoque de mostrar notificaciones falsas y formularios de inicio de sesión de instituciones legítimas y credenciales de usuario de phishing en los formularios superpuestos.

Son como BankBot.

¿Que sigue? Si eres un banco, lo eres.

Esto me recuerda a principios de la década de 2000, cuando los sitios de phishing imitaban marcas en las que confiábamos. Había dos hechos claros sobre esos ataques:

1. Los consumidores no eran profesionales de la seguridad.. Confiaron en marcas como sus bancos favoritos. Dejaron la seguridad a la institución de confianza para brindar protección o hacer que el cliente esté completo.
2. Una vez que los atacantes perfeccionaron su enfoque y modelo de negocios, los perpetradores («phisherman») agregaron nuevas marcas confiables a sus ataques.

No se necesita mucha experiencia o clarividencia para ver lo que sucederá a continuación en la historia de BankBot. Los primeros 20 fueron una prueba. Luego, la prueba se expandió a otras 150 aplicaciones bancarias y más países. El más reciente es Polonia. Tengo pocas dudas de que los nuevos «phishermen» móviles se están expandiendo. Pronto intentarán explotar a los consumidores móviles de cientos de bancos en Europa, Asia y Estados Unidos.

Tal como lo hicieron cuando crearon sitios de phishing a mediados de la década de 2000.

¿Qué puedo hacer al respecto?

El motor central de aprendizaje automático de Zimperium, z9, tiene un historial comprobado de detección de exploits de día cero. Recientemente anunciamos una extensión del marco que detecta malware móvil previamente desconocido. Esta extensión se conoce como “z9 for Mobile Malware”, y se anunció oficialmente en septiembre 2017. z9 detecta BankBot y sus variaciones en el dispositivo en tiempo real.

En una de sus opciones de implementación, z9 se puede implementar dentro zIAP™: un SDK de protección en la aplicación que ofrece aplicaciones de autoprotección. Integrado en una aplicación que es atacada por malware, incluido BankBot, zIAP detecta dichas amenazas y puede finalizar inmediatamente la sesión y/o marcar la cuenta por alto riesgo de fraude.

Integre la ciberseguridad en su aplicación de banca móvil