Ciberseguridad

Una app para Android que se hace pasar por el BBVA instala un troyano bancario

Esta aplicación estaría relacionada con otra descubierta recientemente que suplantaba al Consejo General del Poder Judicial.

Periodista

2 minutos

bbva-sancionado-agencia-proteccion-de-datos

Los ciberdelincuentes no tienen ningún reparo en hacerse pasar por bancos para robar los datos a los usuarios (phishing) o llevar a cabo otro tipo de amenazas a mayor escala. 
En esta ocasión se ha descubierto la existencia de una aplicación maliciosa para Android que buscaba imitar al BBVA. En realidad, esta herramienta una vez descargada lo que hace es instalar un peligroso troyano bancario.

El investigador @MalwareHunterTeam ha sido quien ha informado de la existencia de esta app. Por su parte, desde ESET España han tomado el testigo y han tratado de averiguar más cosas sobre ella.

La compañía ha descubierto que el dominio o web de descarga (no está alojada en Google Play) fue registrado el 1 de febrero, así que la campaña acabaría de empezar. 
También se ha sabido que la aplicación falsa del BBVA tendría relación con otra app de la que os hablamos recientemente en Escudo Digital y que trataba de suplantar al Consejo General del Poder Judicial (CGPJ).

Como ocurría en este caso, los ciberdelincuentes han creado una página web de descarga en la cual han usado tanto la imagen como los colores corporativos y el logotipo del famoso banco. Además, alguna de las capturas de pantalla ya se encontraba disponible (pese a no tener relación ninguna) en la falsa web del CGPJ analizada hace unos días.

De cara a instalar la app fake del BBVA los ciberdelincuentes dan una serie de pautas que implican que el  usuario omita ciertas comprobaciones, las cuales serían capaces de detectar que se trata de una aplicación fraudulenta.

Se desconoce su método de propagación

Por ahora no se ha descubierto el método que usa esta amenaza para propagarse, pero es bastante probable que los hackers envíen SMS haciéndose pasar por la entidad bancaria suplantada y adjuntando un enlace acortado que apunte al dominio citado. Aquí obtendrían las instrucciones de instalación y un botón de descarga. 

Al instalarla en el dispositivo siguiendo las pautas indicadas por los cibermalos se presentará una pantalla donde se solicita unas credenciales de acceso. Al tratarse de la suplantación de una entidad bancaria, es muy probable que las víctimas que hayan llegado a este punto introduzcan las credenciales de acceso a la banca online, lo que permitirá a los delincuentes hacerse pasar por ellos y acceder a su cuenta bancaria.

Además, los agentes de amenazas hacen una jugada maestra. Como para realizar ciertas operaciones digitales o móviles en los bancos es necesario recibir el código de un solo uso en el móvil la app fraudulenta pide un permiso específico para interceptar los mensajes SMS. De esta forma, los piratas consiguen dichos códigos y pueden sustraer la cantidad que deseen o transferirla. 

"Con toda la información recopilada hasta ahora, no sería arriesgado afirmar que detrás de ambas campañas se encuentra el mismo grupo de delincuentes o, al menos, que se han utilizado las mismas aplicaciones maliciosas y las mismas plantillas a la hora de realizar las suplantaciones, tanto la del CGPJ como la del BBVA", asegura Josep Albors, director de Investigación y Concienciación de ESET España.