El malware Hesperbot ataca a clientes de bancos europeos

Retiro de un cajero automático

La compañía de seguridad basada en Eslovaquia ESET ha descubierto un nuevo troyano que ataca a los clientes de bancos europeos, y que es instalado por las víctimas mismas sin saberlo

El nuevo malware, conocido como Hesperbot, se asemeja a otros virus de su especie como Zeus o SpyEye en cuanto a finalidad pero con la diferencia que son los clientes de los bancos mismos quienes le dan entrada al virus sin saberlo, además de pertenecer a una nueva familia de malware nunca antes vista. ¿Cómo funciona?

Según un artículo de la compañía misma, el virus es un troyano bancario que tiene algunas funciones comunes con otros virus como creación de capturas de pantalla y vídeo, instalación de un proxy remoto, interceptación de tráfico y capacidades de infectar códigos HTML. Además, incluye algunas nuevas funciones como la creación de un servidor VNC oculto en el sistema infectado. El fin es el mismo, pero los caminos para llegar a él han variado bastante.  

Hesperbot se encontraba activo a principios del mes de agosto en un portal de Internet que se asemejaba al sitio oficial de correos checo y que engañaba a los clientes que querían revisar el estado de un envio para que abriesen un link que los llevaba a la página verdadera, con lo que podían copiar información personal como contraseñas de correos electrónicos. El servicio de correos se dió cuenta del engaño a tiempo y alertó a sus clientes. 

Desafortunadamente, muchos clientes checos perdieron dinero ya que abrir este link le permitía a los ladrones obtener acceso a sus datos personales y si lo abrian en el móvil, podían incluso darle acceso a sus códigos bancarios. Lo peor es que los ladrones no se detuvieron allí y continuaron sus fechorias en Turquía y Portugal.

El fin en estos países era engañar a los clientes para que instalasen una app muy parecida a la utilizada por su banco en el móvil y que utilizase sistemas operativos Android, Symbian o Blackberry. Cuando el ordenador de una víctima era infectado, una página supestamente del banco le pedía ingresar su modelo de teléfono y el número del mismo, una táctica muy común en robos perpetrados por medio del phishing

Así, se le enviaba un mensaje de texto con un link a una app que contenía todo el malware al usuario. Si la misma era instalada, infectaba al móvil y lograba sobrepasar el sistema de identificación doble utilizado por muchos bancos en Europa. Otro de sus trucos era ingresar código infectado a las páginas web de los bancos afectados, una táctica que no se utilizó en el ataque al servicio postal checo. 

No se sabe aún dónde se encuentran los criminales cibernéticos ni cual será su próximo blanco. Representantes de la compañía creen que estos robos apenas eran una versión beta del ataque y que se pueden extender por más de un país. 

Fuentes: Mashable, ESET