Tecnología

Ciberseguridad: esta es la nueva amenaza que pone en riesgo los datos bancarios de millones de usuarios

Se trata de un ‘malware’ con funciones que suelen asociarse con ‘software’ espía (‘spyware’).

Redacción Tecnología
5 de diciembre de 2024
Descubren el 'malware' bancario DroidBot en más de 70 aplicaciones de Android.
Descubren el 'malware' bancario DroidBot en más de 70 aplicaciones de Android. | Foto: Europa Press 2024

Investigadores han descubierto un nuevo malware denominado DroidBot integrado más de 70 aplicaciones bancarias, servicios de intercambio de criptomonedas y entidades relacionadas para el sistema operativo Android y descargadas en España, Reino Unido, Italia, Francia y Portugal.

DroidBot es un troyano sofisticado de acceso remoto (RAT, por sus sigles en inglés) que combina el uso compartido de pantalla remota de Virtual Network Computing (VNC) con funciones que suelen asociarse con software espía (spyware).

Para atraer a las víctimas y que descarguen este malware, los ciberdelincuentes utilizan señuelos comunes que se observan habitualmente en las campañas de distribución de malware bancario. De esa manera, se disfraza de aplicaciones de seguridad genéricas, servicios de Google o ‘apps’ bancarias populares.

Esta amenaza, advertida por el equipo de seguridad de Cleafy TIR a finales de octubre de 2024, incluye un keylogger y rutinas de monitorización. De esa manera, una vez se haya instalado en el dispositivo, puede interceptar mensajes SMS entrantes de instituciones financieras —como, por ejemplo, cuando envían números de autenticaciones de transacciones (TAN)—, y las interacciones del usuario con la pantalla. Gracias a esto, los ciberdelincuentes pueden robar tanto su información personal como sus credenciales.

Los ciberdelincuentes recurren a diferentes técnicas para robar los datos personales de los usuarios.
Los ciberdelincuentes recurren a diferentes técnicas para robar los datos personales de los usuarios. | Foto: Getty Images

A diferencia de otros troyanos, DroidBot dispone de un mecanismo de comunicación de doble canal. Esto significa que los datos salientes de los dispositivos infectados se transmiten mediante el protocolo de mensajería ligero MQTT —siglas de Message Queuing Telemetry Transport—, mientras que los comandos entrantes se reciben a través del protocolo HTTPS. De esa manera, este doble sentido mejora la flexibilidad operativa del troyano y su resistencia.

Los usuarios pueden ser víctimas de suplantación de identidad.
Los usuarios pueden ser víctimas de suplantación de identidad. | Foto: Getty Images

La campaña de este troyano está activa desde junio de 2024 y se ha vinculado a Turquía, lo que refleja una tendencia más amplia de adaptación de tácticas y enfoque geográfico, según los investigadores. Asimismo, parece estar en desarrollo activo.

DroidBot opera como una plataforma de malware como servicio (MaaS, por sus siglas en inglés), esto es, un modelo de distribución de software malicioso a individuos o grupos con menos recursos o capacidad técnica.

De esta manera, dispone de 17 grupos de afiliados diferentes, con identificadores únicos asignados, que se dirigen a 77 objetivos. Entre ellos se encuentran aplicaciones bancarias, bolsas de criptomonedas, entidades gubernamentales y otras organizaciones nacionales relacionadas.

Los expertos también han señalado que los ciberdelincuentes “han apuntado con éxito” a usuarios en España, Reino Unido, Italia, Francia y Portugal; y que hay indicios de que se expandirá en regiones de América Latina.

*Con información de Europa Press.