Carberp-in-the-Mobile

Nos hemos referido anteriormente a los ataques conocidos como Man-in-the-Mobile que apuntan al robo de mTANs enviados por SMS. Por mucho tiempo sólo se conocían dos familias de este programa malicioso: ZeuS-in-the-Mobile (ZitMo) y SpyEye-in-the-Mobile (SpitMo). ZitMo y SpitMo funcionan junto a sus ‘hermanos’ de Windows. En realidad, sin ellos parecerían simples troyanos espía de SMS. Vale la pena mencionar que durante los dos últimos años, estos ataques se han observado sólo en algunos países europeos, como España, Italia, Polonia y unos cuantos más.

Pero cuando apareció la versión Carberp Trojan para móviles (la detectamos como Trojan-Spy.AndroidOS.Citmo, Carberp-in-the-Mobile), estos ataques también se dieron en Rusia. No es un secreto que las transacciones bancarias online son cada vez más populares en Rusia y que los bancos promocionan activamente la banca online con varios métodos de autorización.

Carberp para Windows funciona de forma similar al troyano ZeuS. Si el usuario intenta acceder a su cuenta bancaria online desde un ordenador infectado con Carberp, este programa malicioso modificará la transacción y enviará los datos del usuario a un servidor malicioso en vez del servidor del banco.

Además del nombre de usuario y de la contraseña, los ciberdelincuentes también necesitan los mTANs para confirmar cualquier transferencia de dinero desde la cuenta robada. Es por esto que una de las modificaciones de Carberp (la llamamos Trojan-Spy.Win32.Carberp.ugu y la añadimos al detector con fecha 11 de diciembre) altera en tiempo real la página web del banco, solicitándole al usuario que descargue e instale una aplicación supuestamente necesaria para acceder al sistema. El usuario podrá obtener el enlace mediante un mensaje SMS ya sea enviando su número de teléfono o escaneando un código QR:

Como se ve en la imagen, los usuarios de uno de los bancos más reconocidos de Rusia, Sberbank, están bajo ataque. ‘Sberbank’ actualizó su página web el 12 de diciembre informando sobre el ataque. El enlace en el código QR conduce a la aplicación ‘SberSafe’ (Trojan-Spy.AndroidOS.Citmo) que se encontraba en Google Play desde el 30 de noviembre.

El mismo desarrollador (‘SAMSONOV SERGEY’) ha subido otras dos aplicaciones a Google Play: ‘AlfaSafe’ (posiblemente para los usuarios de AlfaBank) y ‘VkSafe’ (para Vkontakte). Estas aplicaciones tiene exactamente el mismo funcionamiento que ’SberSafe’ (robo online de mensajes SMS bancarios).

La aplicación ‘SberSafe’ se ha descargado al menos unas 100 veces, ‘AlfaSafe’ una vez por lo menos, y ‘VkSafe’, unas 50 veces.

El troyano CitMo funciona casi de la misma forma que ZitMo. Es capaz de ocultar determinados mensajes SMS y reenviarlos al servidor de comando del atacante. Algunas versiones de ZitMo reenvían mensajes SMS a determinados números de móviles y a varios servidores web. Las versiones conocidas de CitMo y el módulo de Carberp para Windows (Trojan-Spy.Win32.Carberp.ugu) sólo funcionan con el servidor remoto ‘bersta***.com’.

Cuando una víctima potencial ejecuta esta aplicación maliciosa, aparece una ventana en la que se le solicita ingresar un número de móvil. Si lo hacen, el número se escribe en el archivo ‘auth.txt’ y se envía a un servidor remoto. Después de un tiempo, el usuario recibe un mensaje SMS con un código de 5 dígitos que debe ingresar en la ventana de la aplicación. Este código se escribe en el archivo ‘authcode.txt’ y junto al número del móvil se usa como identificador para los datos enviados al servidor remoto.

Después, CitMo descarga desde el servidor los datos de configuración que se escriben en los archivos ‘hide.txt’ y ‘view.txt’. El archivo ‘hide.txt’ contiene información sobre los números que se ocultan al recibir un mensaje SMS desde este servidor. El archivo ‘view.txt’ contiene información sobre los números que aparecen en pantalla al recibir un mensaje SMS desde este servidor. Estas acciones se realizan para ocultar todas las actividades relacionadas con la transferencia del dinero robado desde la cuenta de la víctima.

Luego, el programa malicioso recibe mensajes SMS, verifica el número del remitente, y si coincide con uno de los números en el archivo ‘hide.txt’, oculta el mensaje y lo escribe en el archivo ‘message.txt’, el cual se envía al servidor remoto.

Vale la pena mencionar que a pesar de los esfuerzos de Google para evitar que suban programas maliciosos a Google Play, la plataforma de oficial App Market sigue sufriendo por varios tipos de programas maliciosos. Este no es el primer ataque del tipo Man-in-the-Mobile con un componente móvil guardado en Google Play. El 12 de diciembre nos pusimos en contacto con Google y el 13 de diciembre todas las variantes de CitMo ya se habían eliminado de App Market.

No es ninguna sorpresa que ahora hayan surgido en Rusia ataques como ZitMo y SpitMo. A medida que aparezcan más servicios financieros y que vayan evolucionando, los ciberdelincuentes también estarán más activos. Y los autores de virus tampoco cesarán en sus actividades en el futuro inmediato. Este tipo de programas maliciosos también evolucionarán y seguirán siendo un problema para los usuarios no sólo de Europa sino de Rusia y quizás de otros países.