Expertos de seguridad de Check Point y Versafe han reportado que el troyano Eurograbber -una nueva variante del famoso troyano Zeus-, ha infectado computadoras y teléfonos inteligentes de más de 30 mil clientes de banca electrónica a los que ha robado 36 millones de euros, en retiros que van de los 500 hasta los 250 mil euros por ataque.
El malware, en combinación con el servidor de comando y control de los atacantes, infectó primero a las computadoras de las víctimas y después a sus dispositivos móviles con el fin de interceptar los mensajes SMS para evitar los procesos de autenticación de doble factor en las operaciones bancarias en línea.
Para validar la identidad del cliente que hace una operación bancaria en línea, el banco europeo envía un mensaje SMS con el número de autenticación de transacción (TAN, por sus siglas en inglés) al dispositivo móvil del cliente, quien confirma y completa la transacción introduciendo el TAN recibido en la pantalla de su sesión bancaria en línea.
Eurograbber trabaja utilizando variantes personalizadas de Zeus, SpyEye y troyanos Carberp. En principio, infectó a las computadoras de los clientes bancarios cuando éstos hicieron click en un enlace malicioso recibido por correo electrónico de phishing o al navegar en Internet. Al acceder el usuario a su cuenta bancaria usando la computadora infectada, el troyano inyecta instrucciones en la sesión para pedir al usuario que introduzca su número de teléfono móvil. Simula una solicitud de actualización de seguridad del software del banco para el móvil, requiriendo al usuario seguir las instrucciones que enviará al móvil vía SMS. En el SMS va un enlace en el que el usuario debe hacer click para completar la actualización de seguridad. Lo que hace el enlace es descargar en el móvil una variante del troyano Zitmo (Zeus-In-The-Mobile), diseñada para interceptar mensajes SMS del banco con el número TAN en dispositivos Android y BlackBerry. Completada la “actualización de seguridad”, la víctima cliente del banco es monitoreada y controlada por los atacantes sin que las sesiones de banca en línea del cliente muestren evidencia de ello. El troyano Eurograbber interceptará los mensajes SMS y usará el TAN para completar su propia transacción para transferir silenciosamente un porcentaje del saldo a una cuenta de los atacantes.
Eurograbber sería uno de los primeros troyanos en difundirse desde la PC al móvil, específicamente de las plataformas Android y BlackBerry.
Los ataques de Eurograbber iniciaron en Italia, pronto llegaron a computadoras de víctimas bancarias de Alemania, España y Holanda. Es posible que variaciones del ataque puedan afectar a otros países, incluyendo aquellos fuera de Europa. Aquí el reporte.