Los 10 troyanos bancarios para Android más utilizados por los ciberdelincuentes
Los diez troyanos bancarios móviles para Android más prolíficos apuntan a 639 aplicaciones financieras que, en conjunto, tienen más de mil millones de descargas en Google Play Store.
Los troyanos bancarios móviles se esconden detrás de aplicaciones aparentemente inofensivas. Por ejemplo, herramientas de productividad y juegos, y normalmente se cuelan en Google Play Store, la tienda de aplicaciones oficial de Android.
Una vez que infectan un dispositivo, superponen páginas de inicio de sesión sobre aplicaciones bancarias y financieras legítimas. El objetivo es robar credenciales de cuentas, monitorear notificaciones para arrebatar OTPs e incluso llevar a cabo fraudes financieros en el dispositivo. Esto al abusar de los servicios de accesibilidad para realizar acciones como el usuario.
Según un informe de Zimperium que brinda una descripción general del ecosistema de Android en el primer trimestre de 2021, cada uno de estos troyanos ha asumido un lugar único en el mercado. El lugar fue asignado por la cantidad de organizaciones a las que se dirigen, así como por la funcionalidad que los diferencia del resto.
Este hallazgo es muy preocupante, ya que según las encuestas de 2021, tres de cada cuatro encuestados en Estados Unidos usan aplicaciones bancarias para realizar sus actividades bancarias diarias. En otras palabras, esto proporciona un grupo masivo de objetivos para los troyanos.
Los más atacados
Estados Unidos encabeza la lista de los países más afectados con 121 aplicaciones atacadas. Le sigue Reino Unido con 55 aplicaciones, Italia con 43, Turquía con 34, Australia cuenta con 33 y Francia con 31.
El troyano que se dirige a la mayoría de las aplicaciones es Teabot, que cubre 410 de las 639 rastreadas. Asimismo, Exobot también ha atacado a un grupo considerable de 324 aplicaciones.
La aplicación objetivo con la mayor cantidad de descargas es PhonePe, que es muy popular en India y tiene 100 millones de descargas desde Play Store.
Binance, la popular aplicación de exchange de criptomonedas, cuenta con 50 millones de descargas. Cash App, un servicio de pago móvil que funciona en los Estados Unidos y el Reino Unido, también tiene 50 millones de instalaciones a través de la Play Store. Ambos también son objetivo de varios troyanos bancarios, incluso si no ofrecen servicios bancarios convencionales.
La aplicación más buscada es BBVA, un portal global de banca en línea con decenas de millones de descargas. Esta aplicación es un objetivo constante de siete de los diez troyanos bancarios más activos.
Troyanos más prolíficos
Los troyanos bancarios más prolíficos en el primer trimestre de este año, según Zimperium, son los siguientes.
- BianLian – se dirige a Binance, BBVA y una variedad de aplicaciones turcas. Una nueva versión del troyano descubierta en abril de 2022 presenta la omisión de photoTAN, que se considera un método de autenticación fuerte en la banca en línea.
- Cabassous – se dirige a Barclays, CommBank, Halifax, Lloys y Santander. Utiliza el algoritmo de generación de dominios (DGA) para evadir la detección y las eliminaciones.
- Coper – Apunta a BBVA, Caixa Bank, CommBank y Santander. Supervisa activamente la “lista permitida” de optimización de la batería del dispositivo y la modifica para eximirse de las restricciones.
- EventBot – Apunta a Barclays, Intensa, BancoPosta y varias otras aplicaciones italianas. Se esconde como Microsoft Word o Adobe Flash y puede descargar nuevos módulos de malware desde fuentes remotas.
- Exobot – se dirige a PayPal, Binance, Cash App, Barclays, BBVA y CaixaBank. Es muy pequeño y liviano porque usa bibliotecas de sistema compartidas y obtiene superposiciones del servidor de comando (C2) y control solo cuando es necesario.
- FluBot – dirigido a BBVA, Caixa, Santander y varias otras aplicaciones españolas. El troyano botnet era conocido por su rápida distribución mediante SMS y listas de contactos de dispositivos comprometidos.
- Medusa – Se dirige a BBVA, CaixaBank, Ziraat y una variedad de aplicaciones bancarias turcas. Puede cometer fraude en el dispositivo al abusar del servicio de accesibilidad para actuar como un usuario normal en nombre de la víctima.
- Sharkbot – Apunta a Binance, BBVA y Coinbase. Cuenta con un amplio conjunto de capacidades de evasión de detección y anti-eliminación, así como un fuerte cifrado de comunicación C2.
- Teabot – se dirige a PhonePe, Binance, Barclays, Crypto.com, Postepay, Bank of America, Capital One, Citi Mobile y Coinbase. Cuenta con un registrador de teclas especial para cada aplicación y lo carga cuando el usuario lo inicia.
- Xenomorph – apunta a BBVA y varias aplicaciones bancarias con sede en la Unión Europea. También puede servir como instalador para obtener malware adicional en el dispositivo comprometido.
Medidas de protección
Como queda claro de lo anterior, cada uno de los diez troyanos bancarios más prolíficos mantiene su propio alcance de orientación relativamente estrecho. Es decir, el ecosistema está equilibrado y los operativos pueden elegir la herramienta que se adapte a su público objetivo.
Para protegerte de todas estas amenazas, debes mantener tu dispositivo actualizado y sólo instalar aplicaciones desde Google Play Store. Asimismo, debes consultar las reseñas de los usuarios, visitar el sitio del desarrollador y mantener al mínimo la cantidad de aplicaciones instaladas en tu dispositivo.