La
familia Zeus solía modificar las
pantallas de los infectados para pedir la tarjeta de coordenadas completa. Así
podían validar transferencias y robar a sus víctimas. A medida que los bancos van implantando los SMS como método de validación, Zeus
mejoró incluyendo el envío del troyano al móvil e interceptando los SMS (man-in-the-mobile).
Pero esto sólo es válido para BlackBerry
y Android, además de que muchos
usuarios se mostraban recelosos. ¿Cómo han solucionado este problema? Con un
genial movimiento de ingeniería social.
Zeus y SpyEye ya han
hecho frente en el pasado al "problema"
que les supone la autenticación por móvil en la banca electrónica. Envían a sus
víctimas un troyano al móvil, para
interceptar así el código de validación en los SMS. De eso ya hemos hablado no
hace mucho aquí:
Sin embargo, últimamente han
desarrollado una técnica no tan sofisticada técnicamente, sino basada en lo que
siempre parece el punto más débil: el usuario y su credulidad. Así, estas
versiones funcionan de la siguiente manera. Cuando el usuario se presenta en su
página de banca electrónica (y sólo cuando se presenta, no antes) el troyano se
activa. Lo primero que hace es interpretar la página del banco concreto,
buscando las cuentas que almacenen una mayor cantidad. Esta información la
envía a un servidor externo con la siguiente petición HTTP:
Donde "country" es el banco atacado, "amount" la cantidad que guarda la cuenta de la víctima y
"login" el login de usuario
en la banca oline.
Después, muestra esta pantalla
(incrustada en la original):
En ella se insta al usuario a
realizar un "test" para
probar el sistema de SMS de la
banca. Bajo la premisa de una transferencia ficticia, se invita al usuario a
que pruebe los beneficios del método de validación por móvil. El lenguaje,
comparándolo con otro tipo de estafas, está relativamente cuidado.
Si el usuario decide continuar
(no tiene otra opción, puesto que si cierra la pantalla no podrá acceder a su
banca online), aparecerá este otro mensaje
En ella se hace una transferencia
a un beneficiario (el mulero) del que incluso se muestran las últimas cifras de
la cuenta. La transferencia es invariablemente por valor de 3.000 euros, e
invita al usuario a validarla con el mensaje que ha recibido en su móvil. Lo
que está ocurriendo es que el troyano está realizando realmente la transferencia,
pero a través de una "interfaz"
creada por él, usando los recursos del banco. O sea, al teléfono llegará
realmente un mensaje legítimo generado por la entidad y si lo introduce y
valida, el efecto será exactamente el mismo que si el usuario hubiese realizado
la transferencia de forma habitual desde su portal.
Esta ingeniosa e interesante manera
de engañar al usuario está teniendo
cierto éxito, y supone un paso muy interesante en la evolución de esta familia
y su uso de la ingeniería social.
El resto de comportamiento "técnico" del troyano Zeus, es el "habitual": se inyecta en
Explorer.exe, descarga un archivo de configuración cifrado desde alguna
ubicación, envía los datos robados a un panel del atacante donde quedan
ordenados y clasificados, etc.
Sergio de los Santos
Twitter: @ssantosv
No hay comentarios:
Publicar un comentario