La familia Zeus solía modificar las pantallas de los infectados para pedir la tarjeta de coordenadas completa. Así podían validar transferencias y robar a sus víctimas. A medida que los bancos van implantando los SMS como método de validación, Zeus mejoró incluyendo el envío del troyano al móvil e interceptando los SMS (man-in-the-mobile). Pero esto sólo es válido para BlackBerryy Android, además de que muchos usuarios se mostraban recelosos. ¿Cómo han solucionado este problema? Con un genial movimiento de ingeniería social.
Zeus y SpyEye ya han hecho frente en el pasado al «problema» que les supone la autenticación por móvil en la banca electrónica. Envían a sus víctimas un troyano al móvil, para interceptar así el código de validación en los SMS. De eso ya hemos hablado no hace mucho aquí:
http://blog.hispasec.com/laboratorio/405.
Sin embargo, últimamente han desarrollado una técnica no tan sofisticada técnicamente, sino basada en lo que siempre parece el punto más débil: el usuario y su credulidad. Así, estas versiones funcionan de la siguiente manera. Cuando el usuario se presenta en su página de banca electrónica (y sólo cuando se presenta, no antes) el troyano se activa. Lo primero que hace es interpretar la página del banco concreto, buscando las cuentas que almacenen una mayor cantidad. Esta información la envía a un servidor externo con la siguiente petición HTTP:
http://atacante.com/image/jpg/get.php?country=BANCO&amount=1234.56&login=123456
Donde «country» es el banco atacado, «amount» la cantidad que guarda la cuenta de la víctima y «login» el login de usuario en la banca oline.
Después, muestra esta pantalla (incrustada en la original):
En ella se insta al usuario a realizar un «test» para probar el sistema de SMS de la banca. Bajo la premisa de una transferencia ficticia, se invita al usuario a que pruebe los beneficios del método de validación por móvil. El lenguaje, comparándolo con otro tipo de estafas, está relativamente cuidado.
Si el usuario decide continuar (no tiene otra opción, puesto que si cierra la pantalla no podrá acceder a su banca online), aparecerá este otro mensaje
En ella se hace una transferencia a un beneficiario (el mulero) del que incluso se muestran las últimas cifras de la cuenta. La transferencia es invariablemente por valor de 3.000 euros, e invita al usuario a validarla con el mensaje que ha recibido en su móvil. Lo que está ocurriendo es que el troyano está realizando realmente la transferencia, pero a través de una «interfaz» creada por él, usando los recursos del banco. O sea, al teléfono llegará realmente un mensaje legítimo generado por la entidad y si lo introduce y valida, el efecto será exactamente el mismo que si el usuario hubiese realizado la transferencia de forma habitual desde su portal.
Esta ingeniosa e interesante manera de engañar al usuario está teniendo cierto éxito, y supone un paso muy interesante en la evolución de esta familia y su uso de la ingeniería social.
El resto de comportamiento «técnico» del troyano Zeus, es el «habitual«: se inyecta en Explorer.exe, descarga un archivo de configuración cifrado desde alguna ubicación, envía los datos robados a un panel del atacante donde quedan ordenados y clasificados, etc.
Sergio de los Santos
Twitter: @ssantosv
Deja un comentario