Citmo: variante de Carberp que afecta a usuarios de Android

El conocido troyano bancario para Windows que afecta bancos rusos, Carberp, ha sido reestructurado por los ciberdelincuentes para hacerlo compatible con Android. Este malware denominado Citmo o Carberp in-the-mobile se suma a dos casos existentes de códigos maliciosos que evolucionaron de una forma similar, es decir, incorporando nuevas variantes para plataformas móviles: Zitmo (Zeus-in-the-mobile) y Spitmo (SpyEye-in-the-mobile). Estas tres amenazas comparten entre otras características, algunas funcionalidades destinadas al robo de información bancaria y la transformación de la computadora y el dispositivo móvil en zombi.

Logo AndroidDe forma similar al funcionamiento de Zitmo, Citmo trabaja de forma complementaria a su“hermano mayor”, Carberp. Cuando la computadora de un usuario se infecta con alguna variante de este código malicioso, los cibercriminales necesitan que el teléfono inteligente de la víctima también se infecte. ¿El motivo? Vulnerar los sistemas de doble autenticación implementados por las entidades financieras. Este método de protección consta del envío de un SMS con un código de seguridad (mTAN – Mobile Transaction number) que la persona debe ingresar para poder realizar trámites bancarios en línea. Esta secuencia de números se puede utilizar solo una vez y varía para cada sesión.

De acuerdo a información que pudimos recopilar, Citmo fue subido en al menos tres oportunidades a Google Play simulando ser aplicaciones legítimas de bancos rusos. En este punto es importante mencionar que para Google poder determinar qué aplicaciones son maliciosas en base a los permisos que solicitan es algo extremadamente complicado. Por ejemplo, algunos programas legítimos para borrar información de forma remota (en caso de pérdida del equipo) requieren del envío de SMS para poder funcionar adecuadamente. Asimismo, los troyanos SMS también necesitan de dichos permisos para poder suscribir al usuario a números de mensajería Premium. Si el usuario no es precavido e instala dicho código malicioso, el troyano procede a ocultar los SMS provenientes de algunas entidades financieras con el objetivo de evitar levantar sospechas por parte del afectado.

Al desarrollar amenazas que trabajan de forma complementaria entre computadoras y dispositivos móviles, los cibercriminales se aseguran de poder obtener rédito económico sin importar si el banco de la víctima implementa sistemas de protección de doble autenticación para los trámites financieros en línea. Es importante destacar que en este tipo de casos, los ciberdelincuentes necesitan recurrir a métodos de Ingeniería Social tanto para seducir a la potencial víctima para que resulte infectada como también para provocar que la misma instale una aplicación maliciosa en su teléfono móvil.

Pese a que en 2012 seis cibercriminales responsables de Carberp fueron arrestados y luego algunos de sus organizadores también, tal situación no fue impedimento para que este malware continúe infectado a usuarios y evolucione al punto de incluir algunas diseñadas específicamente para Android. Hasta el momento hemos detectado tres variantes de Citmo. Tal como apareció explicado en el informe Tendencias 2013: vertiginoso crecimiento de malware móvil, a medidas que los usuarios utilicen con mayor frecuencia servicios bancarios desde un teléfono móvil, mayor será el interés de los ciberdelincuentes por obtener tal información. Para aquellos que deseen proteger sus smartphones de Android/Spy.Citmo y otras amenazas, los invitamos a probar la nueva versión beta de ESET Mobile Security 2.

André Goujon
Especialista de Awareness & Research

Autor , ESET

Síguenos