Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/12/2012
Citmo: variant del troià Carberp afecta mòbils Android
Esta variant mòbil del troià Carberp s’ha detectat en els últims dies, i afecta entitats bancàries.
L’evolució que han seguit amenaces clàssiques per a ordinadors a l’hora de traslladar-se a dispositius mòbils ha sigut relativament ràpida i s'ha adaptat a les característiques úniques que presenten estos dispositius. Dins dels diferents tipus de programari maliciós que podem trobar en els nostres mòbils, teníem variants de coneguts troians com ara Zeus (Zitmo), SpyEye (Spitmo) i des d’ara també Citmo.
Estes tres variants estan especialitzades en el robatori d’informació bancària i estan pensades per a trencar els sistemes de doble autenticació que incorporen algunes entitats bancàries. Estos sistemes de protecció requerixen de l’enviament d’un SMS amb un codi de seguretat cada vegada que l’usuari desitge realitzar una operació de banca en línia. En ser un codi d’un sol ús s’evita que ho podem perdre o ens ho roben i es realitzen transferències de diners sense la nostra autorització.
Este tipus de troians per a mòbils Android han anat afectant diverses entitats bancàries des que en 2010 apareguera la primera variant de Zitmo. La major part d’entitats pertanyen a països europeus, i destaquen Espanya, Itàlia, Polònia i Alemanya, entre altres. No obstant això, en estar centrat el troià Carberp en usuaris de Rússia, és comprensible que la seua versió per a mòbils se centre en entitats que operen en este país.
Així doncs, en les últimes setmanes s’han vingut observant fins a tres aplicacions pujades a Google Play que simulaven ser aplicacions pertanyents a bancs russos. ¿Com és possible que es colaren tres troians d’esta índole en el mercat d’aplicacions de Google? Per a començar, no és la primera vegada i és quelcom que es produïx amb massa freqüència. A continuació, hem de tindre en compte que resulta difícil determinar si una aplicació és maliciosa i s'observa únicament els permisos que sol·liciten i estes variants de Citmo no es caracteritzen per sol·licitar res fora del normal.
Amb este tipus de programari maliciós, els ciberdelinqüents s’asseguren d’obtindre totes les dades necessàries per a poder robar diners dels comptes bancaris dels usuaris. L’únic esforç addicional que han de realitzar per a poder botar-se les mesures de doble autenticació, implementades per algunes entitats bancàries, consistix a realitzar una senzilla aplicació i aconseguir pujar-la a Google Play. D’esta manera, bé proporcionant l’enllaç de l’aplicació maliciosa per correus electrònics o altres mitjans, o bé perquè l’usuari la troba en la botiga d’aplicacions i la instal·la, s’aconseguix un interessant nombre de víctimes potencials.
Com veiem, a pesar que estes tècniques són ben conegudes i porten ja prou de temps funcionant, no deixen de resultar efectives, sobretot si l’usuari que ha de prendre l’última decisió falla a l’hora de comprovar que l’aplicació que vol instal·lar és en realitat un programari maliciós.