"Fake Token": Un troyano para Android que roba credenciales bancarias en España

Hola a todos de nuevo, lamento no haber estado "disponible" últimamente, pero estas fechas son realmente "duras" para mí, y pese al paso del tiempo, no consigo "acostumbrarme", pero sigo resistiendo abejas, de momento no hay "antivirus" que pueda conmigo, y por ello os pido disculpas.

Lo primero es desearos a todos un muy feliz año nuevo, y que desde luego sea así, y asi lo podáis proclamar en la Nochevieja de 2017, y lo segundo es agradecer a todos vuestro apoyo y seguimiento, y que soportéis estoicamente, y sin pestañear los "rollazos" tan inmensos que humildemente comparto con tod@s vosotr@s... Con la cantidad de cosas divertidas que existen por ahí. Gracias inifinitas y de corazón a tod@s.

Y ahora vamos "al lío", desgraciadamente y como era previsible, y parodiando un "peli" muy famosa: "Ya estáaan aquiiiii..." Ahora ya está confirmado, ya hay troyanos bancarios que afectan a bancos españoles, y que están operativos en Android.

Era cuestión de tiempo y, lamentablemente, ya está aquí: el primer virus que cifra fotos, música y vídeos de nuestros teléfonos Android, para pedirnos un rescate. Es decir, ‘ransomware’ avanzado en el móvil. Desde Rusia llega escondido dentro de un veterano troyano bancario presente en medio mundo, pero, de momento, no visto en España. Entre las decenas de miles de entidades bancarias que ataca, están el BBVA, Banco Santander, Sabadell o Ibercaja.

FakeToken es lo que se llama un “troyano bancario”: muestra a sus víctimas pantallas falsas de sus entidades bancarias, para robar los números de cuenta, de tarjeta y las contraseñas que introduzcan en ellas. Asimismo, roba las contraseñas que el banco manda por SMS para autenticar las transacciones. Todo muy ‘normal’ dentro del canon de cómo funciona un troyano bancario.

Pero, en julio de 2016, analistas de Kaspersky Labs vieron que FakeToken comenzaba a hacer cosas “raras”. Los autores del virus (rusos, según todos los indicios), habían añadido nuevas líneas en su código que lo dotaban de una funcionalidad nunca vista en el ‘malware’ para móviles: la posibilidad de cifrar fotos, música, vídeos y documentos del teléfono de la víctima y pedirle un rescate.

FakeToken no es un virus cualquiera. Tiene capacidad para atacar en 77 idiomas diferentes y hacerse pasar por más de 2.000 aplicaciones móviles bancarias de todo el mundo. También en España. “Analizando los archivos de configuración del Troyano, el nombre de sus paquetes de ‘software’ aparece en los archivos del troyano, de forma que un usuario infectado, al abrir su ‘app’ del banco, podría en realidad estar introduciendo sus datos en una app maliciosa.

Se está distribuyendo mayoritariamente en países del este de Europa, escondido tras aplicaciones falsas que suplantan al navegador Yandex (el Google Ruso) y a Flash Player. Desde julio de 2016, cuando se le añadieron funcionalidades de ‘ransowmare’, habría infectado a más de 16.000 personas en 27 países, siendo los más afectados Rusia, Ucrania, Alemania y Tailandia.

Según el personal consultado en los servicios de ciberseguridad de los bancos afectados asegura que de momento no han dado importancia a esta alerta porque no se han detectado muestras aquí. Sin embargo, esta situación podría cambiar en cuestión de horas si una ‘app’ popular en España fuera infectada con FakeToken.

Hasta ahora los troyanos bancarios que te bloqueaban la pantalla para entretenerte mientras utilizaban los datos robados, o te advertían de que iban a cifrar tus datos, cosa que realmente nunca hacían, pero ahora FakeToken es el primero que sí puede cifrar archivos porque ya lo lleva escrito en su código, aunque muy probablemente para eso, el teléfono necesitará un comando exterior que venga del atacante, lo que no siempre vaya a ocurrir.

Ha dado también que hablar el cifrado que usa el ‘ransomware’ de FakeToken. La mayoría de estos virus combinan AES (algoritmo simétrico de cifrado, en sus siglas en inglés), que cifra los archivos con una clave aleatoria, y RSA, que cifra esta clave. FakeToken utiliza sólo AES.

Las recomendaciones para no infectarse con FakeToken son las mismas que para cualquier ‘malware’: Mantener los dispositivos actualizados. Instalar aplicaciones únicamente desde las tiendas de aplicaciones oficiales y mantener ‘backups’ de los datos”. Tener instalado alguna aplicación antivirus, las hay realmente eficaces, y alguna de las mejores para Android están hechas en España.

Referencias:

https://www.f-secure.com/v-descs/trojan_android_faketoken.shtml

https://blog.kaspersky.com/faketoken-2014q1/4513/

http://www.zdnet.com/article/remote-controlled-android-malware-stealing-banking-credentials/

https://forensics.spreitzenbarth.de/2012/03/16/detailed-analysis-of-android-faketoken/

https://stormpath.com/blog/the-ultimate-guide-to-mobile-api-security

http://unaaldia.hispasec.com/2015/07/koodous-inteligencia-colectiva-para.html

https://www.blackhat.com/us-16/arsenal.html