Por: Lenildo Morais, Maestro en la Ciencias de la Computación. Gerente de Proyectos en Ustore / Claro. También es profesor de la Universidad Federal Rural de Pernambuco.
(ITNOW)-. Los bancos, las compañías de seguros y los proveedores de servicios financieros están expuestos a ataques de piratas informáticos. Después de todo, hay mucho dinero en juego. Esto los convierte en un objetivo rentable para los ciberdelincuentes que tienen como objetivo las comunicaciones móviles.
El esfuerzo requerido para proteger contra ataques y cumplir con los requisitos de seguridad es correspondientemente alto. El sector financiero es un sector sensible a la seguridad. Cuando se trata de dinero, los bancos y los proveedores de servicios financieros otorgan gran importancia a los más altos estándares de seguridad, tanto para sus propios intereses como para los intereses de sus clientes.
Por lo tanto, están sujetos a estrictos requisitos de seguridad internos y externos. En tiempos de mayor actividad de adquisiciones, esto puede generar problemas para armonizar los sistemas heredados más antiguos pero aún importantes.
El personal del cliente y los asesores son cada vez más móviles, trabajando desde casa o in situ con los clientes. Y los propios clientes están felices de usar la comodidad de su teléfono inteligente para cambiar el mostrador del banco por un café en la calle o una silla de playa para sus transacciones financieras.
La creciente popularidad y difusión de las comunicaciones móviles ha hecho que su seguridad haya recibido una atención especial y rigurosa en las distintas políticas de implantación de la ciberseguridad. Además, los consultores externos, los proveedores de servicios y los vendedores suelen ser objetivos de los ciberdelincuentes.
Ataque contra Defensa
Como las mayores amenazas para las aplicaciones móviles, y por lo tanto para las bases de datos, hoy en día se encuentran los ataques de phishing y los troyanos. Con el phishing, los estafadores activan clics espontáneos en enlaces falsos que supuestamente conducen a ofertas especiales, proveedores de servicios de paquetería o páginas de soporte. Los datos personales de inicio de sesión de las personas se utilizan luego para las descargas iniciales automáticas o para que el malware pase de contrabando al dispositivo. Los troyanos, la mayor fuente de peligro, se consideran dudosos en forma de peligro de ranware. Los troyanos de cifrado de datos y los intrusos exigen un rescate por su activación.
¿MDM o Contenedores?
Si bien los empleados de las instituciones crediticias utilizan principalmente conexiones VPN o Citrix, hay dos soluciones disponibles para teléfonos inteligentes y tabletas: administración de dispositivos móviles (MDM) y soluciones de contenedores. Se pueden utilizar como alternativa si los clientes no desean introducir MDM, pero también se pueden utilizar de forma complementaria.
MDM es una herramienta de gestión para dispositivos móviles y funciona a nivel de seguridad como un sistema cerrado según el principio. A diferencia de las soluciones de contenedores, las configuraciones de seguridad granulares o modulares solo son posibles de forma limitada. Por ejemplo, con aplicaciones populares de mensajería, redes sociales o videoconferencias, la única opción es permitirlas a pesar de los riesgos de seguridad o bloquearlas por completo y, por lo tanto, molestar a los empleados.
Además, requieren medidas de protección complejas, como pasos de autenticación especiales, procedimientos de inicio de sesión complicados o contraseñas largas. Sin embargo, las opciones de uso simples y cómodas son un requisito previo importante para una alta aceptación por parte del usuario y eficiencia en el trabajo.
A diferencia de MDM, las soluciones de contenedores solo se enfocan en la protección de datos. Por lo tanto, se ofrecen como un complemento de seguridad específico cuando se requieren niveles especiales de confidencialidad, como VS-Only for Official use (VS-NfD), que se pueden usar por separado.
Si bien las soluciones de contenedores son inherentemente propietarias, podrían complementarse de muchas maneras en el futuro con SDK o conexiones seguras a funciones y aplicaciones. Por lo tanto, las aplicaciones dentro del contenedor son tan seguras como si estuvieran ejecutándose en la computadora de la oficina en el entorno de la empresa. Los correos electrónicos privados, por lo tanto, no pueden hacer ningún daño, al igual que todas las demás aplicaciones que se ejecutan fuera de esta área protegida del contenedor.
Un Teléfono Inteligente: Muchos Peligros
Un tema muy debatido, no solo en el entorno bancario, es el concepto de usar BYOD (traiga su propio dispositivo). El teléfono inteligente privado del empleado se utiliza con fines profesionales. Las aplicaciones altamente confidenciales con acceso a datos personales confidenciales se ejecutan en el mismo dispositivo móvil que los servicios de mensajería privada o las aplicaciones de juegos.
Lo mismo se aplica al principio complementario de COPE (Corporate Owned Personally Enabled), en el que se utiliza un teléfono inteligente de la empresa en lugar de un teléfono celular privado. Los beneficios de ambos enfoques son obvios: reducen los costos de adquisición y administración, y los empleados no tienen que llevar dos dispositivos todo el tiempo.
Sin embargo, los riesgos potenciales de seguridad y protección de datos debido a la coexistencia no segura de aplicaciones profesionales y privadas en un solo dispositivo son igualmente claros. Las soluciones de contenedores tienen aquí una ventaja, ya que permiten una separación estricta de las aplicaciones privadas y profesionales. Las soluciones MDM dejan solo la elección entre su coexistencia insegura en el teléfono inteligente o el bloqueo completo de aplicaciones privadas.
Esto incluye sensibilizar periódicamente a los empleados y sensibilizarlos sobre cuestiones de seguridad. Cualquier solución de seguridad solo puede proteger si las personas la utilizan de manera responsable.
¿Qué es FluBot?
FluBot es un troyano bancario que se hace pasar por un mensaje SMS de un conocido servicio de envío como DHL o FedEx. Hasta el momento, no hay pruebas de que el malware también se haga pasar por un banco o una compañía de seguros para disfrazarse, pero así es. muy posible.
Una vez que el malware está instalado, accede a datos confidenciales, por ejemplo, el banco de la víctima o los datos de contacto. También tiene la capacidad de redirigir a sus víctimas a sitios de phishing para obtener información de tarjetas de crédito.
Aunque FluBot se especializa en dispositivos Android, el malware a veces también envía mensajes SMS a los propietarios de dispositivos Apple.
Sin embargo, las aplicaciones de iOS solo se pueden descargar desde la tienda oficial de Apple y, por lo tanto, no ofrecen la misma superficie de ataque que las aplicaciones de Android. Sin embargo, también se recomienda a los usuarios de iOS que ignoren los mensajes de spam y que no hagan clic en enlaces de remitentes desconocidos, incluso si parecen servicios de correo electrónico familiares como FluBot.
Riesgo de Seguridad de Notificaciones de Envío
En la práctica, suele ser así: un usuario de smartphone recibe un mensaje inicialmente discreto de un servicio de envío acreditado, DHL o FedEx. Este SMS se refiere a un envío de paquetes y contiene un enlace que promete más detalles o a través del cual se puede realizar una supuesta entrega. rastreado
Cualquiera que haga clic en el enlace de phishing será redirigido a un sitio web falso y comenzará la descarga del malware FluBot. El contenido del mensaje SMS puede variar. A veces, FluBot incluso usa un nombre personalizado para que el mensaje parezca legítimo. Por eso es importante: si recibe un mensaje de texto con el supuesto FluBot, informe el incidente a su proveedor de red móvil y elimine el mensaje de inmediato.
Activación de Malware y Liberación de Permisos
El troyano funciona de manera idéntica en las variantes de DHL y FedEx. La aplicación requiere los siguientes permisos:
Notificaciones
Accesibilidad
Descargar
FluBot primero requiere que el usuario permita la activación de “Servicios descargados”. Al otorgar al malware los derechos de acceso deseados, puede activarse silenciosamente en segundo plano. Después de eso, el malware solicita acceso a “Acceso a Notificación”. Esto le da permiso al troyano para leer todas las notificaciones enviadas por el dispositivo y cualquier aplicación instalada.
Una vez que estas acciones se realizaron con éxito, FluBot logró su primer objetivo. Luego se oculta borrando su ícono en la pantalla de inicio, pero permanece abierto en segundo plano. Como resultado, el troyano intenta propagarse utilizando el dispositivo secuestrado y al mismo tiempo obtiene los datos de inicio de sesión confidenciales de la víctima. FluBot monitorea todas las aplicaciones abiertas.
Después de detectar una de las aplicaciones objetivo, comienza el robo de información. Para hacer esto, el malware usa una superposición falsa en la pantalla y engaña al usuario para que ingrese sus credenciales, que luego se envían a los ciberdelincuentes detrás del malware. La información de la tarjeta de crédito también puede ser robada a través de una página de verificación falsa.
Medidas de Autodefensa de FluBot
Para hacer esto, el malware utiliza un DGA (algoritmo de generación de dominio) para conectarse a su infraestructura C2 (comando y control). Este DGA se usa para generar periódicamente una gran cantidad de nombres de dominio que se pueden usar como puntos de conexión a la infraestructura C2 del malware. Como puede ser difícil eliminar tantos nombres de dominio diferentes, el malware utiliza este truco para dificultar la eliminación de la infraestructura maliciosa de FluBot.
Luego, FluBot envía una solicitud POST para comunicarse con su infraestructura C2. Luego espera los comandos. Una vez conectado a la infraestructura C2, FluBot puede recibir comandos para realizar acciones maliciosas. El troyano tiene las siguientes funciones en este punto:
Bloquear notificaciones
Redirigir a un sitio de phishing de tarjetas de crédito
Recuperación de la lista de contactos del dispositivo Android
Intercepción de SMS
Desinstalar
Subir el contenido de un SMS a la infraestructura C2
Algunas muestras de FluBot también se ocultan con el software de protección APK para dificultar el análisis. Por lo tanto, el malware impide la identificación ocultando las cadenas de las muestras observadas.
Además, FluBot disfraza su existencia ofuscando el código de su programa, pero puede identificarse a través de un archivo revelador en la estructura de clases interna de Java. No sigue ninguna convención de nomenclatura específica, pero se puede devolver al formato original *.DEX utilizando el cifrado de transmisión RC4. Este archivo DEX se puede descompilar en formato JAVA. De esa forma, si existe alguna sospecha, se puede confirmar la estructura de clases del malware FluBot.
Protección Preventiva a través de IA
Las instituciones financieras toman muchas medidas para proteger a sus clientes, como usar la autenticación multifactor o monitorear transacciones sospechosas. Al mismo tiempo, la cantidad de usuarios móviles está aumentando, lo que lleva a la industria financiera a dar un paso proactivo hacia una mayor seguridad, como rastrear qué usuario o tercero está usando una aplicación. Esto permite que el malware se detecte antes de que se infiltre en su objetivo.