Hechos clave:
- Troyano bancario FakeToken ha evolucionado para funcionar también como ransomware en Android.
- FakeToken está llevando a cabo una lenta pero segura entrada a España, detectando en varios bancos.
Tal como mencionamos en Navidad, según McAfee, 2016 fue el año del Ransomware. Las noticias de sus víctimas, desde individuos hasta grandes empresas, no cesaron en todo el año, y aunque estas suelen tener computadores, este tipo de malware también puede afectar dispositivos Android.
Por supuesto, esta última alternativa es menos común dado que los usuarios suelen tener respaldo de la información que guardan en sus teléfonos móviles o bien esta puede resultar más bien poco importante. Sin embargo, los cibercriminales han notado que últimamente los datos resguardados en el sistema Android cobran cada vez más importancia, y en el caso de los usuarios de criptomonedas esto se vuelve vital si es en este dispositivo donde guardan sus respectivas carteras. Así que de acuerdo a las investigaciones realizadas por Kaspersky Labs, el troyano bancario FakeToken ha evolucionado para funcionar también como ransomware en Android.
Usualmente el FakeToken funcionaba con la estrategia engañosa de phishing, mostrando a sus víctimas páginas falsas de sus bancos o incluso de sus servicios de correo para poder robar sus credenciales y acceder a sus fondos. Ahora, cuando esto no funciona por una u otra causa, acuden a su nueva característica ransomware para encriptar fotos, vídeos, música y documentos.
Esto es destacable dado que en Android suelen haber dos tipos de ransomware: uno que sólo bloquea la pantalla a cambio de un rescate y que suele poder resolverse tan sólo reiniciando el dispositivo en modo seguro; y el ransomware criptográfico, que de hecho cifra los archivos de la memoria interna y externa y que, tras contactar con un experto y dependiendo del tipo, puede o no descifrarse. El FakeToken actúa como este último.
Hasta ahora este troyano bancario ha excedido las 16 mil víctimas en 27 países, aunque es capaz de actuar en 77 idiomas distintos y más de 2 mil aplicaciones móviles bancarias de todo el mundo. Los más afectados han sido Rusia, Ucrania, Alemania, Tailandia y el este de Europa, donde suele distribuirse ‘disfrazado’ del navegador Yandex y el Adobe Flash Player, muy común en distintos juegos.
Sin embargo, para el 2017 parece querer aumentar sus estadísticas, pues según Fernando Díaz, analista de malware de la firma de seguridad Hispasec, el FakeToken está llevando a cabo una lenta pero segura entrada a España, ya que en su código se han detectado los paquetes de software de las aplicaciones bancarias del Santander, BBVA, Sabadell e Ibercaja.
Analizando los archivos de configuración del Troyano, hemos podido confirmar que las aplicaciones de bancos como el BBVA, Santander, Sabadell e Ibercaja son vulnerables. El nombre de sus paquetes de software aparece en los archivos del troyano, de forma que un usuario infectado, al abrir su app del banco, podría en realidad estar introduciendo sus datos en una app maliciosa que se los robaría.
Fernando Díaz
Analista de Malware
Pese a esta detección temprana, lo cierto es que aún su incidencia en España es lo bastante mínima como para no preocupar a los bancos involucrados, aunque sí a los investigadores, ya que esto podría cambiar radicalmente en cuanto alguna de las apps de estos bancos fuera infectada para engañar a miles de usuarios.
No hay que apresurarse a pagar el rescate
En cualquier infección por ransomware, la recomendación general es siempre no pagar el rescate. Hay que admitir, no obstante, que en ciertos casos no queda más remedio si se quieren recuperar los datos secuestrados, pero en este caso todavía es extraño que esta se vuelva la última opción.
Tal como explican en Kaspersky Labs, el tipo de cifrado que se utiliza en este ransomware es el AES (algoritmo simétrico de cifrado, por sus siglas en inglés), lo que permite a usuarios avanzados o personal técnico descifrar la clave y recuperar los archivos sin necesidad de pagar el rescate. Por ello siempre se debe acudir con un experto antes de ceder ante los hackers.
Además, siempre se debe prevenir antes que curar: para el caso de Android, sólo deben descargarse apps desde sus páginas oficiales, respaldar todos los archivos en la nube o en otro equipo y mantener actualizada una aplicación de seguridad en el dispositivo.
