XENOMORPH, NUEVO TROYANO BANCARIO PARA ANDROID EN DESARROLLO CON VARIOS BANCOS ESPAÑOLES ENTRE SUS OBJETIVOS

Los troyanos bancarios dirigidos a dispositivos Android han experimentado un fuerte crecimiento desde el inicio de la pandemia. Solo tenemos que echar un poco la vista atrás y comprobar que a principios de 2021, los usuarios españoles eran el objetivo principal de una importante campaña de propagación de este tipo de amenazas camufladas como supuestas aplicaciones de empresas de logística. Ahora, un nuevo malware que tiene como objetivo a los usuarios de 56 entidades bancarias europeas, ha sido descubierto y, a pesar de que todo apunta a que aún se encuentra en desarrollo, podría suponer una importante amenaza a corto plazo.

Introducción a Xenomorph

Ha sido la empresa de seguridad Threat Fabric la que ha dado la voz de alarma al descubrir recientemente esta nueva familia de troyanos bancarios que, tras las primeras investigaciones, tendría relación con otra familia de malware conocida como Alien. Según su inteligencia de amenazas, este nuevo troyano bancario habría conseguido distribuirse a través de la tienda oficial de aplicaciones de Google, consiguiendo más de 50.000 instalaciones.

A pesar de que Google ha mejorado mucho la seguridad de su tienda de aplicaciones durante los últimos años, todavía hay algunos delincuentes que consiguen evadir estas medidas de seguridad. Como ejemplo, los investigadores mencionan una aplicación conocida como “Fast Cleaner” que fue descargada por decenas de miles de usuarios.

Fuente – Threat Fabric

En lo que respecta a las capacidades del malware Xenomorph, comprobamos como estas son muy similares a las de otros troyanos bancarios desarrollados para Android observados en los últimos meses. No obstante, la lista de características que son funcionales actualmente son las mínimas necesarias para poder robar credenciales e interceptar los mensajes SMS usados como doble factor de autenticación.

Los investigadores han resaltado el hecho de que hay muchos comandos incluidos en el código que aún no han sido implementado, lo que podría indicar que nos encontramos ante un malware en una fase inicial de su desarrollo. A pesar de ello, este malware es perfectamente capaz de cumplir su objetivo usando la superposición de pantallas para robar credenciales y, en el caso de que el usuario le conceda los permisos de Accesibilidad durante la instalación, también podrá ejecutarse de forma sigilosa en el dispositivo infectado.

Fuente – Threat Fabric

En lo que respecta al ataque de superposición de pantallas, no se observan novedades destacables con respecto a las muestras analizadas en los últimos años. El malware permanecerá corriendo en segundo plano hasta que el usuario inicie alguna de las aplicaciones que tiene como objetivo (apps de entidades bancarias, criptomonedas, Paypal o Gmail, entre otros) . En ese momento, se mostrará una pantalla superpuesta sobre la original solicitando las credenciales de acceso a la entidad bancaria suplantada.

Una vez los delincuentes se han hecho con las credenciales, los delincuentes pueden acceder a la cuenta de la víctima y proceder a realizar transferencias bancarias a otras cuentas controladas normalmente por muleros que hacen de intermediarios y reenvían el dinero robado a otras cuentas controladas por los delincuentes.

Fuente – Threat Fabric

En ese aspecto, no hay novedades con respecto a los troyanos bancarios que estamos acostumbrados a analizar. Sin embargo, los investigadores han querido hacer hincapié en que, a pesar de algunas similitudes importantes con otro conocido troyano bancario como es Alien, Xenomorph sería una familia de malware completamente nueva y que aún se encuentra en desarrollo.

Podemos ver en funcionamiento este malware gracias al vídeo preparado por el investigador de ESET especializado en el análisis de malware Lukas Stefanko:https://www.youtube.com/embed/7-yT65lVBf8?feature=oembed

España como principal objetivo

Tal y como se ha podido observar en anteriores campañas protagonizadas por troyanos bancarios dirigidos a usuarios bancarios, España es uno de los objetivos principales de los delincuentes detrás de esta amenaza. En esta ocasión, y basándonos en las aplicaciones bancarias que los delincuentes tienen como objetivo, nuestro país destaca sobre el resto de objetivos.

Fuente – Threat Fabric

Esté interés en atacar a usuarios españoles no es nuevo, y ya vimos que campañas como las protagonizadas por el malware Flubot y sus derivados incluso se centraron inicialmente en objetivos españoles antes de propagarse por otros países. En lo que respecta a la situación actual, vemos como en la segunda mitad de 2021 la detección de amenazas en España relacionadas con malware bancario en Android disminuyó con respecto a la primera mitad, pero hemos de tener en cuenta que la primera mitad de 2021 fue especialmente intensa en lo que respecta a este tipo de amenazas.

Actualmente estamos viendo como todas las semanas se producen campañas de propagación de este tipo de malware, normalmente usando un mensaje SMS como gancho, por lo que la situación actual sigue siendo peligrosa para aquellos usuarios que no adopten medidas de seguridad en sus dispositivos Android.

Conclusión

La incorporación de Xenomorph al catálogo de troyanos bancarios dirigidos a Android demuestra el interés que tienen los delincuentes en esta plataforma y sus usuarios. Por ese motivo es importante contar con una solución de seguridad en nuestro dispositivo móvil que sea capaz de detectar este tipo de amenazas aunque se hayan descargado desde una tienda oficial.

Enlace a la noticia: https://blogs.protegerse.com/2022/02/22/xenomorph-nuevo-troyano-bancario-para-android-en-desarrollo-con-varios-bancos-espanoles-entre-sus-objetivos/

Detectadas llamadas fraudulentas que se hacen pasar por el servicio de atención al cliente de entidades

Se ha detectado una campaña de vishing que suplanta la identidad de los servicios de atención al cliente de algunos bancos y proveedores de gas y electricidad mediante la realización de llamadas a los usuarios. El ciberdelincuente se hace pasar por el servicio de atención al cliente para informarnos, en el caso de los bancos, que alguien ha accedido a nuestra cuenta y/o tarjeta, que han realizado un cargo en las mismas, o para solicitarnos que le demos información sobre nuestra firma digital. En el caso de los proveedores de gas y electricidad, las llamadas fraudulentas se realizan con el objetivo de capturar nuestros datos personales. No se descarta que estén llamando a usuarios haciéndose pasar por cualquier otro servicio o empresa con el fin de engañarles y robar sus datos personales y bancarios.

Recursos afectados

Todos los usuarios que hayan recibido alguna llamada y hayan facilitado sus datos personales en estas comunicaciones fraudulentas, según las indicaciones del estafador.

Solución

Si has recibido una llamada de estas características y has proporcionado tus datos, contacta lo antes posible con tu entidad a través de los canales oficiales para informarles de lo sucedido y, denuncia lo ocurrido ante las Fuerzas y Cuerpos de Seguridad del Estado (FCSE), recopilando todas las evidencias y pruebas de las que dispongas (conversaciones, mensajes, correos electrónicos, números de contacto, etc.).

Además, realiza egosurfing periódicamente para comprobar si han aprovechado esta situación para suplantar tu identidad en algún servicio de Internet o para llevar a cabo acciones maliciosas en tu nombre. Si tras haber realizado una búsqueda de tu nombre y otros datos personales en el buscador, encuentras algo con lo que no estás conforme o se está ofreciendo indebidamente información sobre ti, puedes ejercer tus derechos de acceso, rectificación, oposición y supresión al tratamiento de tus datos personales. La Agencia Española de Protección de Datos te proporciona las pautas para que los puedas ejercer.

Evita ser víctima de fraudes de tipo vishing siguiendo nuestras recomendaciones:

  • No proporciones ningún tipo de información personal a los desconocidos que te llaman diciendo que lo hacen en nombre de tu banco o compañía de gas y/o electricidad.
  • Haz comprobaciones sobre el usuario con el que estás interactuando.
  • Si al hablar con la persona, esta no te inspira confianza o dudas de su autenticidad, corta la comunicación y contacta a través de los canales oficiales con tu banco o con tu empresa proveedora de servicios de gas y/o de electricidad para contrastar la información y cerciorarte de si es cierto lo que está ocurriendo.
  • En caso de duda, consulta directamente con la entidad para informarles de lo sucedido o con terceras personalidades de confianza como pueden ser las Fuerzas y Cuerpos de Seguridad del Estado (FCSE). Si necesitas más información, puedes llamar a la Línea de Ayuda en Ciberseguridad de INCIBE, 017, gratuita y confidencial o contactar a través de los canales de chat WhatsApp (900 116 117) y Telegram(@INCIBE017).

MUY IMPORTANTE: ningún servicio de atención al cliente llama para pedir nuestros datos. Si recibes una llamada en este sentido, no facilites ninguno y contacta inmediatamente con la entidad para informarles.

Detalles

Este nuevo intento de estafa se estaría llevando a cabo, principalmente, a través del teléfono. Los ciberdelincuentes, a través de este canal, suplantan el teléfono de atención telefónica de la entidad.

Una vez tienen la información, el modus operandi que siguen es el siguiente:

  1. En primer lugar, contactan con la víctima por teléfono suplantando el número de atención al cliente del banco (o la empresa/servicio suplantado) y le informan que alguien ha accedido a su cuenta y/o tarjeta, o que se le ha hecho un cargo de 950 euros (la cantidad puede variar en cada caso) ese día en una de sus tarjetas, solicitando confirmación de si ha realizado él la operación. En otras ocasiones, se les pide a los usuarios que confirmen los datos de su firma digital.
  2. Requerida la información de contacto por los usuarios en relación con el nombre o el departamento, los delincuentes interrumpen la conversación.

En algunos de los casos identificados, se presentan las siguientes particularidades:

  1. En ocasiones, la conversación resulta no ser del todo fluida y se entrecorta.
  2. Si el usuario-víctima realiza preguntas que el operador-estafador no sabe responder o pone en duda su credibilidad, este último procede a cortar la comunicación

Enlace a la noticia: https://www.osi.es/es/actualidad/avisos/2021/12/detectadas-llamadas-fraudulentas-que-se-hacen-pasar-por-el-servicio-de

Tu banco no te pide que actualices tus datos: es un phishing

Recursos afectados: 

Cualquier empleado, autónomo o empresa que sea cliente de ruralvía (Caja Rural) y realice habitualmente operaciones de banca electrónica.Descripción: 

Desde INCIBE se ha detectado en las últimas horas una campaña de envío de correos electrónicos fraudulentos de tipo phishing que tratan de suplantar a la entidad financiera ruralvía (Caja Rural).

En la campaña identificada, el correo tiene como asunto: « Notificaciones por correo electrónico sobre actividades… :». En el cuerpo del mensaje se solicita al usuario que actualice su información sobre su actividad profesional y/o comercial, y que en caso de no actualizarla se le limitará el acceso a «Línea Abierta»

Recuerda que si recibes un correo de una entidad bancaria u otra compañía, nunca debes acceder desde el enlace que figura en el correo. Para ello, hazlo directamente a través del área de clientes.Solución: 

Si tú o cualquier empleado de tu empresa habéis recibido un correo con estas características, ignoradlo. Se trata de un intento de fraude.

Si has accedido al enlace e introducido las credenciales de acceso a la cuenta bancaria, deberás modificar lo antes posible la contraseña de acceso a la banca online, así como contactar con la entidad para informar de la situación. Además, se recomienda modificar la contraseña de todos aquellos servicios en los que se utilice la misma.

Si has facilitado las credenciales de tu cuenta financiera, recopila todas las pruebas de las que dispongas (capturas de pantalla, e-mail, mensajes, etc.) y contacta con las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) para presentar una denuncia.

Como pautas generales, para evitar ser víctima de fraudes de este tipo, se recomienda:

  • No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
  • En caso de que el correo proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
  • No contestar en ningún caso a estos correos.
  • Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus, comprobar que está activo.
  • Asegúrate de que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de administrador.

Además, para prevenir y reforzar estos consejos, es importante realizar acciones de concienciación en ciberseguridad entre los empleados.

¿Te gustaría estar a la última con la información de nuestros avisos? Anímate y suscríbete a nuestros boletines, al canal de Telegram @ProtegeTuEmpresa, al perfil de twitter @ProtegeEmpresa o síguenos en Facebook. Serás el primero en enterarte de los últimos avisos de seguridad para empresas. También ponemos a tu disposición la Línea gratuita de Ayuda en Ciberseguridad de INCIBE, 017; y nuestros canales de chat de WhatsApp (900 116 117) y Telegram (@INCIBE017), o mediante el formulario web.Detalle: 

La campaña detectada suplantando a ruralvía (Caja Rural) tiene como asunto «Notificaciones por correo electrónico sobre actividades…:», aunque este podría variar:».  En el cuerpo del mensaje se solicita al usuario que actualice su información sobre su actividad profesional y/o comercial. En caso de no actualizarla se le limitará el acceso a «Línea abierta», y le remiten a un formulario donde actualizar y completar dicha información.

El cuerpo del mensaje del correo electrónico es el siguiente:

Email que suplanta a ruralvia

Al hacer clic en «Actualizar información », lleva a una supuesta página de ruralvía (Caja Rural), pero en realidad es una web falsa (web spoofing) cuyo único objetivo es capturar tus datos.

Pagina que suplanta a ruralvia

Después de introducir el usuario, el NIF o NIE y la contraseña, al pulsar en «Entrar» lleva a una página que se solicitarán el nombre, apellido, domicilio, fecha de nacimiento y número de teléfono.

Solicitud de datos

Tras pulsar en «ACEPTAR» lleva a una página que se solicitarán los siguientes datos bancarios: número de tarjeta, fecha de caducidad y código de seguridad (CVV).

Solicitud de número de tarjeta

Tras introducir estos datos y pulsar en «ACEPTAR» lleva a una página que se solicitará la clave de firma.

Solicitud de firma

Una vez introducida esa clave de firma y pulsar en el botón de «CONFIRMAR» llevará a una página que se solicitará una clave de verificación, la cual enviará al teléfono que previamente se había introducido.

Solicitud de código recibido por SMS

Una vez introducidos los datos personales y el código SMS de verificación, te redirige a la página verdadera de Caja Rural y tu datos estarán en manos de los ciberdelincuentes.

Enlace a la noticia: https://www.incibe.es/protege-tu-empresa/avisos-seguridad/tu-banco-no-te-pide-actualices-tus-datos-phishing

Alerta de estafa: suplantación de BBVA en mensajes de texto fraudulentos y llamadas

En los últimos días ha sido detectada una campaña de mensajes maliciosos (smishing) en los que suplantan la identidad de BBVA y comunican a los destinatarios que se ha producido una incidencia relacionada con sus cuentas, tarjetas u otros productos bancarios, por lo que deben “verificar” sus datos a través de un enlace que aparece en el mensaje. 

Este enlace dirige a un sitio web fraudulento que solicita información confidencial, como el NIF, NIE, tarjeta o pasaporte, clave de acceso y número de teléfono móvil.

mensajes fraudulentos

Posteriormente, estos datos confidenciales son utilizados por los ciberdelincuentes para realizar un segundo ataque: se hacen pasar por el call center de BBVA, llaman a las personas que habían facilitado la información y les indican que se han llevado a cabo varios movimientos bancarios fraudulentos. Les continúan comunicando que, para poder recuperar su dinero, van a recibir un código de un solo uso a través de SMS, código que deben proporcionar en la llamada.

De esta forma, con las claves de acceso obtenidas en la página web fraudulenta y los códigos enviados por SMS recabados en la llamada, los ciberdelincuentes consiguen todos los datos necesarios para poder realizar ellos mismos movimientos fraudulentos en nombre de las víctimas.

Lee estos consejos de seguridad para protegerte de este fraude:

– No proporciones información personal o bancaria en páginas web a las que has accedido desde un enlace incluido en un email o SMS.

– Revisa detenidamente el enlace que contiene el SMS y observa si engloba palabras o caracteres extraños.

– Los códigos de un solo uso (One Time Password, OTP por sus siglas en inglés) son secretos y BBVA nunca va a pedirlos por correo, llamada o SMS. Estos códigos solo son solicitados en las aplicaciones oficiales del banco y en procesos concretos que lo requieran (por ejemplo, en las transferencias no habituales). 

– Por regla general, desconfía de todos aquellos mensajes alarmantes que tengan tono de urgencia y contengan faltas de ortografía o erratas (“deberia”).

– Nunca respondas a este tipo de mensajes sospechosos.

– Recuerda que las páginas web seguras comienzan siempre por https.

– Contacta con BBVA en el 900 102 801 en caso de ser víctima de este fraude o si sufres cualquier otro incidente de seguridad relacionado con tus cuentas o tarjetas.

Siempre tened en cuenta seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante
, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

enlace a la noticia: https://www.bbva.es/finanzas-vistazo/ciberseguridad/ultima-hora/mensajes-de-texto-fraudulentos-suplantando-bbva.html

Cuidado, Phishing de Banco Santander

Nada nuevo bajo el sol. Hacerse pasar por el banco o servicios de pago como PayPal, ya sea a través del clásico email o de un SMS para llevarte a una página falsa y tratar de robar tus credenciales.

Ya sabes, si tienes que entrar en tu banco, hazlo a través de su app oficial o introduciendo directamente la url en el navegador.

phishing banco santander

Desconfiar siempre de cualquier enlace o documento adjunto de este tipo de correos o SMS.

Los ciberdelincuentes nunca descansan.

Nueva Campaña de Phishing suplantando a ING

Se ha detectado una nueva campaña de envío de correos electrónicos fraudulentos que suplantan a la entidad bancaria ING, cuyo objetivo es dirigir a la víctima a una página web falsa (phishing) para robar sus credenciales de acceso e información bancaria.

Como en cualquier otro caso de phishing, hay que extremar las precauciones y avisar a vuestros empleados para que estén alerta de los correos que reciban de origen sospechoso, especialmente si contienen archivos adjuntos o como en este caso, enlaces externos a páginas de inicio de sesión.

Si alguno de vuestros empleados ha recibido un correo de estas características, ha accedido al enlace e introducido los datos de acceso a la cuenta bancaria, deberá modificar lo antes posible la contraseña de acceso a la banca online, así como contactar con la entidad bancaria para informarles de la situación. Además se recomienda modificar la contraseña de todos aquellos servicios en los que se utilice la misma.

Como pautas generales, para evitar ser víctima de fraudes de este tipo, os recomendamos:

  • No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
  • En caso de que el correo proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
  • No contestar en ningún caso a estos correos.
  • Tener precaución al seguir enlaces o descargar ficheros adjuntos en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
  • Tener siempre actualizado el sistema operativo y el antivirus. En el caso del antivirus comprobar que está activo.
  • Asegúrate que las cuentas de usuario de tus empleados utilizan contraseñas robustas y sin permisos de administrador.

Detalles de la Campaña: La campaña de correos electrónicos fraudulentos que suplanta a ING tiene como asunto «Verificación de datos personales» aunque no se descarta que puedan utilizar otro tipo de asuntos. En la comunicación se informa a los usuarios que debe actualizar los datos personales asociados a su cuenta, para ello debe acceder al «Área de clientes» facilitando un enlace en el correo.

Si se selecciona el enlace incluido en el correo, el usuario será redirigido a una página web que suplanta ser la legítima. En ella se solicita que el usuario introduzca su documento de identificación y fecha de nacimiento.
Una vez que se envía la foto el usuario será redirigido a la página web legítima de ING y todos sus datos personales y bancarios ya estarán en posesión de los ciberdelincuentes.