Robo de datos bancarios en Android por ataques de ingeniería social

Desde McAfee alertan de un nueva forma de malware etiquetado como Android/FakeToken.A. en smartphones con sistema operativo Android, que no sólo roba las contraseñas utilizadas para el acceso a banca en línea, sino datos del terminal como IMEI, IMSI o número telefónico y otros de carácter personal como la lista de contactos. Y todo mediante un acceso constante y silencioso al teléfono inteligente.

El malware se presenta en forma de una aplicación que, cuando se ejecuta, se muestra al usuario con un cuadro de diálogo que parece ser una aplicación que va a generar un identificador de software para una sesión de banca en línea. La aplicación se personaliza para varios bancos europeos diferentes y utiliza los logotipos y los colores reales asociados con cada banco.

Para obtener el token falso, el usuario debe introducir el primer factor de autenticación (el utilizado para obtener acceso inicial a la cuenta bancaria). Si esta acción no se lleva a cabo, la aplicación muestra un error. Cuando el usuario hace clic en «Generar» el malware muestra un token falso (en realidad es un número aleatorio) enviando la contraseña, junto con los identificadores de dispositivo (IMEI e IMSI) a servidores de control.

El Android/FakeToken.A. también incluye una serie de líneas de código para añadir capacidad de autoregeneración o spyware obteniendo por ejemplo la lista de contactos del usuario.

Desde McAfee alertan de la llegada de este tipo de código malicioso y altamente sofisticado, debido a la creciente popularidad de Android y las aplicaciones de banca móvil, recordando que la arquitectura del sistema operativo no está preparada para soportarlos, debido a que los ataques están basados en ingeniería social y vía instalación de aplicaciones de terceros.