Crimen y Justicia

Un troyano chino vacía las cuentas de bancos latinoamericanos y europeos

Una estafa china engaña a los usuarios para que descarguen aplicaciones falsas a través de sitios web falsificados, eludiendo medidas de seguridad y robando datos bancarios una vez instaladas.

Esta ilustración muestra aplicaciones de Google, Amazon, Facebook y Apple con un reflejo de código binario en la pantalla de una tableta. [Lionel Bonaventure/AFP]
Esta ilustración muestra aplicaciones de Google, Amazon, Facebook y Apple con un reflejo de código binario en la pantalla de una tableta. [Lionel Bonaventure/AFP]

Por John Caicedo |

LIMA -- Un troyano bancario recientemente descubierto, que al parecer se originó en China, se está propagando rápidamente por Perú y otros países latinoamericanos, atacando a usuarios de Android y comprometiendo sus cuentas bancarias.

ToxicPanda, un programa malicioso diseñado para robar información bancaria y fondos, se ha extendido principalmente por Europa, pero su presencia también se ha detectado en varios países latinoamericanos.

Más de 1.500 dispositivos han sido infectados en Europa y América Latina hasta noviembre, según revela el equipo de Inteligencia de Amenazas de la empresa de ciberseguridad Cleafy en un informe publicado el 4 de noviembre.

ToxicPanda en acción

"El objetivo principal de ToxicPanda es iniciar transferencias de dinero desde dispositivos infectados a través de la toma de control de cuentas (ATO, account takeover) utilizando una conocida técnica llamada fraude en el dispositivo (ODF, on-device fraud)", según el informe.

Los datos agregados, que se muestran en el mapa anterior, ponen de relieve el patrón de ataque de ToxicPanda y la distribución geográfica de las víctimas. [Equipo de Inteligencia de Amenazas de Cleafy]
Los datos agregados, que se muestran en el mapa anterior, ponen de relieve el patrón de ataque de ToxicPanda y la distribución geográfica de las víctimas. [Equipo de Inteligencia de Amenazas de Cleafy]

El malware se propaga principalmente a través de la descarga de aplicaciones de fuentes no oficiales, una práctica conocida como "sideloading" (carga lateral).

Utiliza sitios web falsos para engañar a los usuarios y hacer que descarguen e instalen aplicaciones aparentemente legítimas, eludiendo así las protecciones de seguridad estándar.

Una vez instalada la aplicación falsa, recopila información bancaria cuando la víctima introduce sus datos.

El troyano se encuentra aún en sus primeras fases de desarrollo, afirma Cleafy.

Los presuntos culpables chinos

Los autores, sospechosos de ser de habla china, al parecer obtienen acceso directo a cuentas bancarias a través de teléfonos inteligentes infectados.

"Una característica notable de este malware, que se alinea con las prácticas comúnmente observadas entre los desarrolladores de habla china, es su capacidad para acceder a álbumes telefónicos, convertir imágenes (...) y transmitirlas de vuelta al servidor de mando y control (C2)", señala el informe.

Aunque esta técnica no es del todo novedosa -ya se había observado anteriormente en virus como TrickMo-, supone "un método notable para extraer información potencialmente sensible (por ejemplo, capturas de pantalla de contraseñas de inicio de sesión o tarjetas virtuales) de los dispositivos de los usuarios", añade.

Cleafy analizó los archivos del malware e identificó un servidor de Sistema de Nombres de Dominio (DNS) codificado, concretamente un servidor DNS chino público y gratuito conocido como 114DNS.

"Su uso en malware o configuraciones sospechosas puede indicar una conexión entre los actores de la amenaza y China", añade el informe.

Italia ha sido el país más afectado por este fraude bancario, con el 56,8% de los más de 1.500 dispositivos infectados. Le siguen Portugal (18,7%), Hong Kong (4,6%), España (3,9%) y Perú (3,4%).

Se han reportado casos adicionales en Chile y Argentina.

¿Le gusta este artículo?

Captcha *