La descarga y uso de apps en dispositivos móviles está aumentando rápidamente, pero también incrementa el riesgo que supone en términos de ciberseguridad. Un ejemplo es el troyano TeaBot, dirigido principalmente a apps bancarias, y otros similares como Brata o el reciente Xenomorph, que ha entrado con especial fuerza en España. Todos ellos tienen como objetivo robar tus credenciales bancarias.

Este año ha empezado con mal pie para la ciberseguridad en España. Una peligrosa estafa, que sigue activa, usa los SMS para hacerse pasar por bancos como el BBVA o el Santander, con un falso mensaje con el que se pretende robar nuestros datos bancarios. El nuevo troyano, Xenomorph, está enfocado a Android y España ha sido el país más afectado, seguido de otros países europeos como Italia, Bélgica y Portugal.

El hecho de que España sea uno de los países más atacados por malware y otros ciberataques es una importante tendencia en general. España es el segundo país, por detrás de Japón, con mayor porcentaje de usuarios atacados por malware bancario. Además, según el último informe de Kaspersky sobre el tema, ahora son más peligrosos.

Por lo que respecta a las apps bancarias, se están convirtiendo cada vez más en un objetivo para los delincuentes. El malware para móviles se infiltra de diferentes maneras. En la mayoría de los casos, los ataques comienzan con sofisticados ataques de ingeniería social para conseguir que el usuario descargue el malware en su dispositivo final. Suelen ser correos electrónicos (phishing), mensajes de texto (smishing) o directamente aplicaciones falsas. El troyano se instala y permite al hacker recopilar información y recargar más malware. Las herramientas de acceso remoto (RAT, por sus siglas en inglés – Remote Access Trojan), por ejemplo, permiten al delincuente tomar el control administrativo del dispositivo e interceptar las credenciales de las aplicaciones bancarias o incluso las contraseñas de un solo uso (OTP, por sus siglas en inglés – One Time Password). Según una investigación de BioCatch, en el segundo trimestre de 2021, uno de cada 24 casos de fraude incluía un ataque de RAT. Los ataques de superposición de HTML también se utilizan para obtener datos críticos. Los que utilizan una app bancaria en su smartphone, en la mayoría de los casos, no se dan cuenta de estas acciones.

TeaBot: Crónica de un ataque

Entre los más frecuentes están Brata, un malware que se dirige a los clientes de los bancos y utiliza los SMS para que se descarguen una aplicación falsa de seguridad, pero también se encuentra TeaBot, un troyano multifuncional que puede robar credenciales y mensajes, así como transmitir el contenido de la pantalla de un dispositivo infectado al atacante. Está preconfigurado para robar credenciales a través de las aplicaciones de más de 60 bancos europeos y es compatible con varios idiomas.

Entrando más en detalle, TeaBot es un troyano que intenta engañar a su víctima para que descargue el malware disfrazándolo de una aplicación supuestamente inofensiva. Concretamente se propaga a través de aplicaciones maliciosas fuera de Play Store, con nombres como VLC MediaPlayer, UPS y DHL. Para propagar el malware en masa, los hackers utilizan los llamados ataques de smishing: su víctima recibe un SMS con un enlace a la aplicación y lo utiliza para descargar el troyano. Otro método de distribución son las falsas ventanas emergentes a través de las cuales se descarga e instala TeaBot. Se implementa como un servicio de Android y se ejecuta en segundo plano. Esto le permite anidar permanentemente en el dispositivo final sin ser detectado. Tras la descarga, recibe permisos de gran alcance e inmediatamente empieza a escanear las aplicaciones instaladas en el dispositivo.

En resumen, TeaBot es un malware muy peligroso por varios motivos:

• Se dirige principalmente a aplicaciones bancarias y de criptomonedas, aunque también recopila información de otras aplicaciones instaladas.
• A los afectados les resulta prácticamente imposible eliminarlo.
• Puede provocar severas pérdidas económicas si un delincuente consigue acceder a los datos de inicio de sesión y de la cuenta y los usa para realizar transferencias.

Detectar el malware móvil con biometría del comportamiento

Una forma de detectar el troyano TeaBot es utilizar soluciones basadas en la biometría del comportamiento. Con la ayuda de esta tecnología, los bancos pueden identificar si se trata de un usuario real o si las entradas se realizan a través de RAT, puesto que el malware se comporta de forma diferente a un usuario «real». Por ejemplo, la navegación de una sesión con malware suele ser mucho más rápida que un usuario real, debido a que la velocidad con la que uno pasa por las diferentes páginas demuestra si está familiarizado o no con el proceso. Así, las tecnologías basadas en la biometría del comportamiento cotejan el comportamiento de una sesión con lo exhibido en sus sesiones anteriores para determinar si el movimiento es coherente.

Otro ejemplo sería el movimiento físico del dispositivo móvil. Los análisis de las sesiones con malware demuestran que el dispositivo descansa sobre una superficie plana durante toda la sesión, mientras que un usuario real suele sostener su móvil en la mano, lo que provoca ligeros movimientos.

Esta tecnología, que utiliza Machine Learning para la creación de sus modelos analíticos, al detectar elementos posiblemente fraudulentos junto a discrepancias en la biometría del comportamiento, puede enviar alertas a los expertos en seguridad del banco. Esto permite a las entidades financieras intervenir de forma preventiva en un intento de fraude antes de que el cliente sufra algún daño financiero. 

Thomas Peacock, Consultor de fraude e inteligencia de amenazas para BioCatch