WebInject to mobile attack

Publicado por Oscar Juárez - 27/02/2018

En múltiples ocasiones, desde bugFraud, hemos detectado ataques de webinject que comienzan con un troyano bancario en el ordenador y que por las protecciones que ofrecen las entidades bancarias se han tenido que adaptar para atacar el terminal móvil.

Los cibercriminales utilizan diferentes técnicas de ingeniería social para manipular a los usuarios con la intención de que instalen una aplicación en el móvil que permita eludir las protecciones de doble factor (2FA) del banco e incluso recuperar más datos de la víctima para continuar explotándolos posteriormente.

Uno de nuestros clientes está sufriendo de forma continuada este tipo de ataque, por lo que desde buguroo LABs, hemos considerado describir la amenaza de forma general para explicar su funcionamiento y como este tipo de amenaza se ha adaptado a otras plataformas.



Robo de credenciales y datos bancarios

La inyección sobre la que vamos a hablar comprueba ciertos campos de la página web de la entidad bancaria para detectar en qué página está el usuario.

En el caso de que se encuentre en la página de autenticación o acceso a clientes, el código malicioso sustraerá el número de identificación y su contraseña.

Si por el contrario ya está autenticado, intentará recuperar información bancaria como cuentas activas y el saldo disponible. De ese modo, posteriormente el cibercriminal puede tener conocimiento de cómo son las víctimas y decidir a quién robar.

Además, en la inyección analizada se intenta, mediante un HTML especialmente creado para ello, que el usuario introduzca una tarjeta de débito y su PIN con el fin de tener más medios para sustraer dinero de las cuentas de la víctima.


webinject-to-mobile-attack-01.jpg
Ilustración 1. Robo de tarjeta de débito



Engaño a la víctima

El cibercriminal, mediante el código malicioso intenta hacer pensar a la víctima que hay una nueva aplicación de seguridad de la entidad bancaria, y de ese modo lograr acceso a su terminal móvil.

webinject-to-mobile-attack-02.jpg
Ilustración 2. Elección de dispositivo


Dependiendo de la selección realizada por la víctima, la inyección intentará instalar una aplicación que le afecte al móvil.

Si se elige la referencia Apple, en este ataque no existe una aplicación para IOS y, por lo tanto, si la víctima selecciona este fabricante estará seguro.

Si por el contrario, se elige cualquiera de las otras referencias, intentará que el usuario descargue e instale una aplicación Android peligrosa.



Instalación de APK

Para lograr que la instalación sea exitosa el navegador mostrará al usuario qué cambios debe realizar en su dispositivo móvil y pedirá un código generado por la aplicación maliciosa, con el fin de lograr visibilidad de cuál de todo su listado de víctimas es la que se ha infectado correctamente.


webinject-to-mobile-attack-03.jpg
Ilustración 3. Instalación desde fuentes desconocidas

 


Robo de SMS

Una vez instalada la aplicación, solicita elevar privilegios y cambiar la aplicación de gestión de SMS. De ese modo tendrá acceso a los SMS recibidos y los tratará para posteriormente enviarlos al panel de control del atacante.


webinject-to-mobile-attack-04.jpg
Ilustración 4. Leer SMS recibidos

 

Conclusión

Como estamos viendo, los troyanos bancarios han ido evolucionando de forma que el malware ya es capaz de rastrear todos los dispositivos relacionados con la víctima para evitar las medidas de doble factor de autenticación (2F).

Actualmente, la protección ante estos ataques se puede abordar desde diferentes perspectivas. Por un lado, podemos proteger al usuario infectado por el troyano bancario y bloquear la inyección detectada. Por otro lado, se puede detectar la aplicación maliciosa que intenta hacer cambios en el dispositivo móvil. Finalmente, se puede detectar un Account Takeover y bloquear el uso de las credenciales robadas.

Nuestra solución bugFraud permite abordar las diferentes perspectivas y proteger tanto a la víctima como a la organización y de ese modo evitar el fraude. 

 

Deep Learning for Online Fraud Prevention

Topics: malware, account takeover, webinjects, troyano bancario, credeciales robadas, autenticación


Últimos artículos

Malware para criptomonedas: una mezcla explosiva

read more

Los top 3 países de cibercriminales especializados en fraude online

read more

Cibercriminales del sector financiero: comprendiendo a los "malos" detrás del teclado

read more