Las aplicaciones de bancos han tomado una gran importancia para los usuarios. Muchas de ellas permiten realizar pagos y transferencias de una forma más rápida que vía web o presencial, además evita la molestia de hacer colas en las agencias.
Por ello, las intenciones de hacerse con los datos que disponen estas aplicaciones son bien altas, por lo que es necesario saber identificar a aquellas que se hacen pasar por las originales con fines ilícitos.
Trendmicro es una firma de análisis que muestra el funcionamiento de estas aplicaciones falsas, y enseña a localizarlas en el Google Play.
Lo primero a conocer es el término SMiShing, una variante del phishing, uno de los métodos más conocidos por los atacantes para obtener datos, pero que actúa mediante el servicio SMS. A través del sitio web se encontró una aplicación llamada Movil Secure, ya eliminada, pero que estuvo funcionando durante un tiempo y se centró en atacar a usuarios españoles. Esta aplicación obtuvo más de 100 descargas. Si bien son pocas, pueden ser suficientes para obtener una buena cantidad de datos en un periodo de 6 días. Este software simulaba estar conectado a algunos bancos para aprovecharse de los usuarios.
¿Cómo funcionan estas apps?
Identifican el teléfono que el usuario utiliza, su versión del sistema operativo y el país desde el que opera. Además, es capaz de recoger los SMS y números de teléfono. Las llamadas y mensajes recibidos se envían a un servidos C&C (Command and Control), los cuales se utilizan cuando un malware trata de enviar datos desde un dispositivo. Con esta información es fácil intentar autenticaciones bancarias.
En el perfil del desarrollador, se encontraron tres aplicaciones del mismo tipo, Evosecure, Bankia Secure, y Credit Secure publicadas el mismo día que Movil Secure y dedicadas a recopilar los mismos datos.
Seguridad en el Google Play
Es cierto que Google actúa rápido en estos casos, pero aún es un misterio saber cómo estas aplicaciones pasan el filtro de seguridad antes de ser subidas al Google Play. Se espera que el gigante tecnológico mejore sus sistemas de seguridad y anime a los usuarios a no descargar ninguna aplicación bancaria que no venga de un desarrollador conocido. En el caso de los bancos, su nombre tiende a ser el mismo que el de la entidad.