Este virus está atacando a los bancos españoles y se cuela a través de tu móvil
Nadie sabe quién hay detrás del troyano Xenomorph, pero está apuntando directamente a los clientes españoles. Así está consiguiendo colarse a través de las descargas en Google Play
Foto: EFE/Alejandro García.
Por
Mario Escribano
España es el principal objetivo de Xenomorph y, no, la saga Alien no tiene nada que ver en esta película. Se trata de un nuevo troyano bancario que tiene como objetivo a los clientes de 56 entidades de toda Europa —la mitad de ellas, en España— y que se distribuye a través de aplicaciones que están disponibles en la tienda Google, como un falso FastCleaner que cuenta con más de 50.000 descargas. Una vez consigue alcanzar tu teléfono, el malware es capaz de entrar hasta la cocina de todo lo que guardes en él. A veces, el blanco ni siquiera es el consumidor, sino algún empleado de estas compañías que, sin darse cuenta, abre la puerta de los sistemas internos corporativos a los ciberdelincuentes.
Si has visto el clásico de Ridley Scott, entender el funcionamiento de este malware es más sencillo. En la película, uno de los tripulantes de la nave espacial es atacado por una criatura desconocida cuando está inspeccionando un planeta recóndito. Sin embargo, todo parece haber quedado en un susto. Tras unos días en observación, vuelve a hacer vida normal con el resto de compañeros. Cuando todos vuelven a estar tranquilos, Xenomorph —así bautizaron al bicho— aparece repentinamente dentro de él, acaba con su vida y, de paso, deja a todos los demás en peligro. Toda una metáfora que explica el nombre de este troyano —su antecesor, por cierto, se llama Alien—, enfocado a los móviles Android.
Los usuarios acuden a buscar una aplicación que necesitan a la tienda de Google, la descargan y todo parece funcionar con normalidad, pero el mal ya está hecho. En un primer momento, el malware permanece tranquilo para que la víctima no sospeche, pero es solo cuestión de tiempo. En realidad, se ha hecho con el control del teléfono. Es capaz de acceder a la aplicación bancaria de turno por su cuenta y, para que no haya problemas, también tiene acceso a los SMS y las notificaciones de segundo factor, algo que aplaca gran parte de los controles de seguridad.
"Tienen mucho potencial sin explotar", avisaban los investigadores de ThreatFabric, una firma de ciberseguridad holandesa que ha hecho una investigación detallada de este troyano, sobre el que destacan que la información almacenada es "muy extensa", de modo que es capaz de registrar los movimientos del usuario, como qué teclea o cuánto tiempo pasa en las aplicaciones. "El malware bancario moderno está evolucionando muy rápido y los delincuentes están comenzando a adoptar prácticas de desarrollo más refinadas. Xenomorph está a la vanguardia de este cambio", aseguran en su informe.
Nadie ha podido averiguar ni siquiera el nombre del grupo de ciberdelincuentes que hay detrás, pero sí dónde está su principal objetivo.
Xenomorph: a newly hatched Banking Trojan targets 56 different European bankshttps://t.co/BQVLNRLSo6
Según el informe, España es el país en el que hay más aplicaciones marcadas como objetivo por este troyano, con un total de 28, frente a las 12 de Italia, la siguiente en el ranking. Entre las señaladas, están Santander (y su filial Openbank), BBVA, Abanca, Bankinter, Cajasur, Cajamar, Triodos o WiZink, entre otras. "Los creadores de troyanos bancarios están teniendo mucho interés en centrarse en Android y en determinados países. En España han visto que había un filón, así que van revisando el código porque, básicamente, les sigue funcionando", explica Josep Albors, director de investigación de ESET España.
Desde principios de 2020, un malware llamado Flubot tenía una operativa similar. En este caso, se hacían pasar por una empresa mediante una web, correo electrónico o SMS, donde se invitaba a descargar una app fraudulenta mediante un archivo APK. "España fue el campo de pruebas y el país que más estaba cayendo en esto", recalca este especialista. Ahora, la vuelta de tuerca está en la distribución, ya que han conseguido penetrar en Google Play.
"Se centran mucho en estar presentes ahí porque a la gente le da más confianza. Ha sido la evolución lógica de lo que ya habíamos visto, pero entrar en la tienda de Google es más complicado", continúa Albors. En su informe, los investigadores de ThreatFabric subrayan que Google "ha tomado algunas medidas para reducir la cantidad de aplicaciones maliciosas", pero también que "en muchas ocasiones estos esfuerzos no son suficientes".
Los ganchos, de cualquier modo, pueden venir por cualquier sitio. "En el último cuatrimestre, hemos visto varios troyanos bancarios con anuncios maliciosos de servicios de comida a domicilio o contenido para adultos", comenta el director de investigación de ESET España. Más allá de la puerta de entrada, en la firma holandesa asegura que este malware está aún en su fase inicial, ya que "muchos comandos están presentes en el código del malware, pero no se implementan".
El objetivo no (solo) eres tú
"La técnica no es nueva, pero sí es un troyano muy bien desarrollado", apunta Hervé Lambert, director global de operaciones de Panda Security, que subraya "su forma de definir a quién ataca, porque lo hace de forma específica". En este sentido, recuerda que muchas veces no solo trata de robar unos miles de euros a los clientes incautos, sino de conseguir entrar en las redes internas de los bancos a través de los propios empleados. "Uno lleva su dispositivo personal al trabajo, y ahí también se conecta a la red", recuerda.
Vista de las oficinas de un banco en el paseo de la Castellana, en Madrid. (Ana Beltrán)
En estos casos, el malware es capaz de detectar las características de cada red en la que entra y, explica, ahí puede "ver indicadores de si se trata de una empresa bancaria y empezar a moverse". "Una vez ataque, o tienes una tecnología muy potente de detección y comprobación, o estás vendido. Aunque no sea fácil, desde ahí pueden lanzar códigos maliciosos de todo tipo y explotar vulnerabilidades. Es algo que hacen fundamentalmente bien, porque consiguen tanto dinero como información, que tiene un valor económico muy alto", desarrolla.
Lambert también destaca que hay "entidades que han perdido mucho dinero a raíz de esto, al igual que ocurre desde hace años con el phishing [suplantación de identidad]". El problema es que, salvo que haya alguna filtración, es imposible saber cuáles son las afectadas. "Las pérdidas pueden ser de varios millones, pero nadie va a decir que le han robado", zanja.
España es el principal objetivo de Xenomorph y, no, la saga Alien no tiene nada que ver en esta película. Se trata de un nuevo troyano bancario que tiene como objetivo a los clientes de 56 entidades de toda Europa —la mitad de ellas, en España— y que se distribuye a través de aplicaciones que están disponibles en la tienda Google, como un falso FastCleaner que cuenta con más de 50.000 descargas. Una vez consigue alcanzar tu teléfono, el malware es capaz de entrar hasta la cocina de todo lo que guardes en él. A veces, el blanco ni siquiera es el consumidor, sino algún empleado de estas compañías que, sin darse cuenta, abre la puerta de los sistemas internos corporativos a los ciberdelincuentes.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F984%2F162%2F599%2F9841625999549cc9ddb9f18a29acdd80.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F9c3%2Fcd6%2F8d2%2F9c3cd68d284ac8dd3b6988a870933fb5.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F4c7%2F467%2F80c%2F4c746780c1f451ef20e2d1073d1c8275.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F03b%2F742%2F2c1%2F03b7422c1902a7396b82119e8bec8d72.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F03b%2F742%2F2c1%2F03b7422c1902a7396b82119e8bec8d72.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F79e%2Fab5%2F046%2F79eab504600bb62d94634ea7d3df4c6a.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F9c3%2Fcd6%2F8d2%2F9c3cd68d284ac8dd3b6988a870933fb5.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F4c7%2F467%2F80c%2F4c746780c1f451ef20e2d1073d1c8275.jpg)