Detectan nuevas variantes del troyano bancario ruso Riltok en Europa

RECOMENDADOS: Tecnologías que dan al dato el protagonismo que merece (WEBINAR)  Cinco retos de la innovación en cloud Informe IT Trends 2019: La realidad digital de la empresa española Mejores prácticas para implementar una plataforma ágil Robo de credenciales: prioriza la seguridad de tus apps Instalación de Redes WiFi y LAN en Hoteles

Los investigadores de Kaspersky han descubierto que el malware móvil Riltok ha lanzado nuevas variantes y está extendiendo su orientación de Rusia al resto del mundo, empezando por Europa, disfrazándose de servicios populares. Los expertos de Kaspersky han detectado alrededor de 4.000 usuarios afectados por este malware hasta la fecha, principalmente en Rusia, pero también en Italia, Francia y el Reino Unido.

Detectado por primera vez a mediados de 2018, Riltok es un troyano bancario, diseñado para obtener acceso a las cuentas financieras y los activos de sus víctimas, principalmente robando credenciales de inicio de sesión y secuestrando sesiones bancarias online. Los troyanos a menudo se disfrazan de servicios web y aplicaciones legítimos para engañar al usuario para que lo instale y proporcione sus credenciales y datos confidenciales.

En el caso del troyano Riltok, el escenario de ataque generalmente comienza cuando un usuario recibe un mensaje SMS con un enlace a un sitio web falso que se parece mucho a un sitio web popular para publicidad clasificada gratuita. El sitio web invita al usuario a instalar la nueva versión de la aplicación móvil del servicio, que es, de hecho, el malware Riltok. Una vez que se descarga el malware y recibe los permisos necesarios de la víctima infectada, se convierte en la aplicación predeterminada para recibir y ver SMS. Esto permite que los atacantes vean todos los mensajes SMS, incluidos los códigos de confirmación para las operaciones con tarjetas bancarias, y también para enviar SMS a otros números para su posterior propagación.

La principal función del malware es el robo las credenciales de las tarjetas bancarias mostrando una pantalla falsa de la aplicación de la tienda Google Play y pidiéndole a la víctima que ingrese la información de su tarjeta de pago. También realiza una verificación básica para asegurarse de que los detalles proporcionados sean genuinos, como contar el número de dígitos ingresados para la tarjeta.

Riltok también roba credenciales de cuentas bancarias mostrando una pantalla que imita una aplicación bancaria o abriendo una página de phishing en el navegador; oculta la actividad y la configuración de otras aplicaciones, como soluciones de seguridad o configuraciones dedicadas a la seguridad del dispositivo; y oculta notificaciones de aplicaciones bancarias legítimas.

"Hemos estado observando cómo el malware Riltok se distribuye de forma lenta pero constante en toda Rusia y esperamos ver un aumento en los ataques a medida que los ciberdelincuentes detrás de esta amenaza extiendan su alcance a nuevos países y continentes, comenzando por Europa. Hemos observado este escenario muchas veces antes; por nuestra experiencia, una vez que los actores de amenazas crean un malware exitoso y lo prueban en Rusia, lo adaptan para las víctimas extranjeras y exploran nuevos territorios. Por lo general, tales amenazas terminan siendo globales", asegura Tatyana Shishkova, investigadora de seguridad de Kaspersky.