BLOG

Malware financiero y sus trucos: Malware móvil

Miniatura del patrocinador de Shahnawaz
Patrocinador de Shahnawaz
Publicado el 25 de agosto de 2016

Banca moderna con dispositivos móviles

Los dispositivos móviles se están convirtiendo rápidamente en el instrumento preferido de los usuarios digitales, lo que impacta también en el sector financiero. La nueva generación necesita que la banca sea compatible con los dispositivos móviles. Según las conclusiones de la Reserva Federal, el uso de la banca móvil es del 67% para el grupo de edad de 18 a 29 años. La principal preocupación para no adoptar la tecnología móvil para la banca era la seguridad. Dado que la movilidad es una fuerza imparable, las organizaciones necesitan comprender este vector de riesgo para planificar y mitigar adecuadamente las amenazas. Este artículo está dirigido a algunas de las vulnerabilidades más notables (y explotadas) en el espacio móvil.

¿Qué es el malware móvil?

Como ocurre con cualquier malware, el malware móvil es un fragmento de código escrito para atacar un teléfono inteligente o un dispositivo similar. La historia del malware móvil se remonta al menos al año 2000, cuando los investigadores detectaron el primer malware móvil conocido, “ TIMOFONICA ”. En 2016, se encontró en circulación malware como " Godless ", que puede rootear hasta el 90% de los dispositivos Android.

Un vistazo rápido a los análisis realizados por Kaspersky Lab muestra que el número de troyanos bancarios móviles está aumentando. Alrededor de 56.194 usuarios fueron atacados por troyanos bancarios móviles al menos una vez durante el año 2015.

 

Tipos: Spyware y adware, troyanos y virus, aplicaciones de phishing, etc.

El malware activo actualmente puede clasificarse como spyware/adware, troyanos y virus, aplicaciones de phishing o procesos bot. Su única intención es capturar información personal valiosa y exfiltrarla.

  • Se sabe que el software espía y el adware disfrazados de aplicaciones legítimas recopilan información del usuario y del dispositivo que puede usarse para futuros ataques.
  • Los troyanos secuestran dispositivos y envían SMS premium no autorizados. Los más comunes tienen la capacidad de volver a aparecer en las pantallas de los usuarios y actuar como aplicações legítimas para robar información confidencial, como credenciales bancarias y contraseñas de un solo uso fuera de banda.
  • Las aplicações de phishing aprovechan aplicações fraudulentas o refactorizadas para entregar contenido malicioso al usuario.

Vulnerabilidades y trucos comunes utilizados por el malware móvil

Los dispositivos móviles admiten múltiples plataformas como iOS, Android, Windows, etc. Con iOS y Android dominando el mercado, echemos un vistazo a las vulnerabilidades relevantes que se explotan:

  • Dispositivos rooteados o jailbreakeados : Hacer root o jailbreak a un teléfono proporciona acceso a nivel root al sistema operativo móvil. Si bien esto brinda a los usuarios la capacidad de modificar el comportamiento original del dispositivo, también crea un riesgo extremo para las aplicações ya que el proceso rompe el modelo de seguridad del dispositivo. Un dispositivo rooteado o liberado proporciona una vía perfecta para que el malware y las aplicação maliciosas infecten y exfiltren datos.
  • El hombre en el medio ataca: Este vector de ataque utiliza un tercero que se interpone entre el dispositivo y la comunicación del servidor, rastreando y modificando la carga útil. Con los dispositivos móviles, los vectores de ataque se amplifican ya que las personas tienden a conectarse a zonas Wi-Fi gratuitas en hoteles, cafeterías y otros lugares públicos,
Foto: www.jscape.com

 

  • Sistema operativo desactualizado: Este síndrome afecta más a los usuarios de Android que a los de iOS. Hay mucha fragmentación en las versiones de los dispositivos Android. Es posible que algunos de los dispositivos aún estén ejecutando una versión antigua con vulnerabilidades conocidas, lo que los convierte en terreno fértil para un ataque de malware.
  • Capturador de SMS: Las técnicas modernas de autenticación adaptativa utilizan autenticación fuera de banda, y los SMS parecen ser uno de los puntos de vulnerabilidad más populares. El malware móvil que afecta a un dispositivo Android es capaz de robar una contraseña de un solo uso enviada al dispositivo. La versión 4.3 de Android y anteriores permitieron que el malware prohibiera que los SMS aparecieran en la bandeja de entrada, haciendo que el ataque fuera completamente silencioso. En las versiones posteriores de Android, el malware no puede evitar que los SMS aparezcan en la bandeja de entrada, alertando a los usuarios sobre los SMS inesperados.
  • Robo de foco: El secuestro de actividad o phishing móvil explota la vulnerabilidad en Android en la que se lanza una actividad maliciosa en lugar de la esperada. Utilizando una pantalla de aspecto similar, se engaña al usuario para que proporcione credenciales al malware. Este vector de ataque es comúnmente explotado por malware financiero. El vector de ataque afecta a las versiones de Android anteriores a la 5, y en versiones posteriores Google ha mitigado los vectores de ataque.

    •  

    Foto: Captura de pantalla del malware svpeng

     

  • Aplicações reempaquetadas: Los autores de malware obtienen aplicações legítimas y las reempaquetan con una payload maliciosos y utilizan campañas de spam, y en algunos casos incluso cargan la aplicação en Play Store o App Store para su distribución masiva. Según un estudio realizado por Arxan Technologies, el 80% de las aplicaciones populares de Android y el 75% de las aplicaciones de iOS han sido pirateadas:

    •  

    Foto: Tecnologías Arxan
    • Malware para iOS sin jailbreak: Nuevas variantes de malware (ejemplo: Se han detectado malware (YiSpecter) que pueden infectar iOS y abusar de las API privadas.
    • Y muchos más... Los autores de malware están inventando y creando incansablemente nuevas técnicas para comprometer los dispositivos móviles.

    La solución de protección contra el fraude de F5 es la respuesta

    La protección contra el fraude proporciona a las organizaciones enfoques de mitigación preventiva y de detección para las aplicações móviles modernas. Se utiliza una variedad de técnicas para evaluar la integridad de seguridad del dispositivo; esta información se proporciona a la aplicação y se comparte con el motor de riesgo de una organización para mitigar y remediar las amenazas. Algunas características clave que ayudan a superar estas amenazas incluyen:

    • Detección de falsificación de certificados: Comprobar el certificado ayuda a prevenir ataques Man in The Middle. La funcionalidad verifica la validez del certificado frente a la información almacenada.

    • Detección de suplantación de DNS: Se defiende contra ataques Man in the Middle resolviendo los nombres de los servidores y comparándolos con la información almacenada.

    • Detección de jailbreak/rooteo: Detecta el dispositivo comprometido verificando privilegios de root.

    • Detección de malware: Busca indicadores de compromiso y realiza análisis de comportamiento para encontrar malware instalado en el dispositivo.

    • Detección de sistema operativo sin parches o inseguro: El SDK puede calcular la versión de Android/iOS y proporcionar la información a una aplicação.

    • Detección de robo de foco: Esta función permite que la aplicação detecte si una aplicação maliciosa robó el foco de la aplicação protegida. MobileSafe generará un evento de transmisión para que la aplicação responda a esta amenaza.

    • Detección de reenvasado: Para las aplicaciones de Android, la solución verificará la firma para determinar su autenticidad. Para iOS, verificar el reempaquetado implica calcular hashes MD5 y validar.

    Configuración del entorno

    La solución se puede configurar habilitando F5 MobileSafe en un entorno WebSafe existente.

     

     

  • Cree o configure un perfil de solución de protección contra el fraude utilizando ajustes preestablecidos orientados a dispositivos móviles:

    •  

     

    Una vez creado el perfil, las alertas estarán disponibles en Alert Server cuando un usuario acceda a las URL móviles.
    • Una vez creado el perfil, las alertas estarán disponibles en el servidor de alertas cuando un usuario acceda a las URL móviles. 

    CONCLUSIÓN

    Los dispositivos móviles brindan a los usuarios un acceso cómodo y sencillo a los servicios en línea, lo que impulsa su adopción masiva. Los piratas informáticos están intentando maximizar nuevos vectores de ataque debido a la comprensión limitada de la seguridad en este dominio. La solución de protección contra el fraude de F5 proporciona a las organizaciones una visión de los puntos finales móviles y protege contra amenazas modernas y sofisticadas.

    Recursos