La banca online presenta hoy en día una alternativa más cómoda y rápida de realizar transacciones y consultas para muchos usuarios. Sin embargo, hay que tener especial precaución al utilizar esta clase de servicios, tanto en el ordenador como en el móvil, ya que allí donde hay dinero, siempre habrá estafadores.
A finales de 2010 apareció el troyano ZeuS para smartphones (ZeuS-in-the-Mobile, o ZitMo), convirtiéndose en el primer programa malicioso para móviles que robaba códigos de autentificación de transacciones bancarias (mTAN, mobile transaction authentication number), que son enviadas frecuentemente por SMS).
En los últimos meses los ataques de ZitMo se han vuelto más específicos, apuntando principalmente a los usuarios de Android y Blackberry. En concreto, se han detectado cinco nuevos archivos de este troyano: Cuatro para Blackberry y uno para Android. Hasta este momento no se había producido un ataque activo y concreto contra la plataforma Blackberry.
Los ataques de ZitMo se han desarrollado en varios países europeos como España, Polonia y Alemania, y en todos los casos los SMS se dirigían a números C&C que pertenecen al operador Tele2 de Suecia.
En el caso de Android, algunas versiones de ZitMo (desarrolladas hace menos de un mes) se presentan como “actualizaciones de certificados” o “apps de seguridad” - como en la imagen de la izquierda- , que después de ser instaladas continúan trabajando en segundo plano aunque se cierre la aplicación.
Claves para entender el funcionamiento de ZeuS
En sus comienzos, la versión para PC de ZeuS seguía el siguiente comportamiento: cuando el usuario infectado trataba de visitar la página de su banco para autorizarse en el sistema, ZeuS modificaba la página web en el navegador de tal manera que los datos personales que el usuario introducía para autorizarse no se enviaban al banco, sino al servidor de administración de la botnet.
Además se incluyó un apartado donde se pedía al usuario que introdujera el modelo y número de smartphone, supuestamente para renovar los certificados. A cabo de un tiempo, se recibía en el número indicado un SMS que les pedía instalar un nuevo certificado de seguridad mediante un enlace que resultaba ser la versión móvil del troyano Zeus, cuya principal función es enviar a los teléfonos de los delincuentes los mensajes SMS indicados en el cuerpo del troyano.
Utilizando el login y contraseña del usuario los ciberdelincuentes se autorizan en el sistema de banca online y tratan de ejecutar la transacción (por ejemplo, enviar dinero de la cuenta del usuario a su propia cuenta). Para realizar la transacción se necesita una confirmación adicional mediante el código de autorización que el banco envía por SMS al teléfono infectado del cliente, que de inmediato lo envía al teléfono del delincuente, permtiéndole utilizar el mTAN robado y confirmar la transacción.
