Los troyanos bancarios son como las ratas, das una patada a un cubo de basura y salen huyendo en todas las direcciones. Aunque las noticias siempre hablan de los mismos programas maliciosos; son cuatro los grandes troyanos que nunca desaparecen: Carberp, Citadel, SpyEye y, especialmente, Zeus.
Se les considera troyanos bancarios a pesar de que, a veces, sus fechorías no tienen nada que ver con el robo de información financiera. No obstante, cada uno de estos malware supone un gran problema: son realmente buenos apoderándose de los datos bancarios de los usuarios.
Es bastante difícil escribir una historia convincente acerca de estos programas cuando la mayoría de ellos se dedica a lo mismo. Sin embargo, hoy os voy a hablar de los cuatro troyanos más prolíficos y populares en la esfera del cibercrimen:
Carberp
La versión original era el típico troyano diseñado para robar la información confidencial de los usuarios como las credenciales bancarias o los accesos a diferentes páginas web. Carberp transmitía los datos robados a un servidor C&C controlado por el creador del malware. Simple y directo. El único componente “complicado” era el rootkit que permitía al troyano pasar desapercibido en el ordenador de la víctima. La siguiente generación incluía plug-ins: uno que eliminaba el software antivirus del equipo infectado y otro que intentaba “destruir” el resto de malware, en caso de que lo hubiera.
Las cosas empezaron a ponerse más interesantes cuando se le confirió la habilidad de cifrar el tráfico de información entre las máquinas infectadas y el servidor C&C. Además, este troyano empezó a trabajar junto al famoso exploit Backhole, infectando a un gran número de equipos. Los creadores de Carperb, a su vez, desarrollaron un módulo específico para Facebook que engañaba a los usuarios con cupones en metálico, para secuestrar sus cuentas en una estafa de ransomware.
A partir de ese momento, comenzó su declive. Las autoridades rusas arrestaron a ocho individuos sospechosos de controlar este malware. A pesar de todo, Carperp sigue vivo. Aunque, en el pasado, los ciberdelincuentes tuviesen que pagar hasta 40.000 dólares para tener acceso al troyano; en 2012, se publicó el código fuente y, hoy en día, cualquiera que tenga los conocimientos suficientes puede tener acceso a este programa.
Citadel
Este malware es una versión del rey de los troyanos, Zeus. Surgió, junto con otros programas maliciosos, después de que se publicará el código fuente de Zeus en el año 2011. Su popularidad se debía a que los creadores desarrollaron un modelo de código fuente abierto que permitía a cualquiera revisarlo y mejorarlo.
El grupo de ciberdelincuentes responsable de Citadel creó una comunidad de clientes y colaboradores a escala internacional, quienes conformaban una especie de red social criminal donde se intercambiaban ideas: cifrado AES de los archivos, la capacidad de eludir las páginas de rastreo, bloqueo del acceso a páginas de seguridad en el equipo de la víctima o eliminar los vídeos de los usuarios. Así, los miembros de esta red continuaron aportando nuevas funciones las cuales consiguieron que este troyano fuera más rápido y flexible, convirtiéndose en una herramienta perfecta para el robo de credenciales.
Citadel vivó una época dorada hasta que Microsoft, junto a otras compañías, lanzó una operación que interrumpió el 88% de las infecciones de este virus.
SpyEye
Se supone que SpyEye se convertiría en el competidor del troyano Zeus. Pero, al final, no pudo ganar la batalla y alzarse con el título de soberano, aunque también disfrutó de su minuto de gloria.
De hecho, algunas partes de la operación SpyEye se unieron a Zeus en un gran botnet bancario, que desapareció rápidamente pero cosechando, mientras tanto, bastante éxito. Los atacantes utilizaron este malware contra la entidad Verizon, robando la información personal de los usuarios durante una semana sin que alguien se percatara del golpe. Además, SpyEye utilizaba los servicios de almacenamiento en la nube de Amazon para difundir el malware en sus campañas maliciosas.
Finalmente, tres hombres fueron arrestados en el verano de 2012 por usar SpyEye para robar información bancaria. En mayo de este año, también se capturó, en Tailandia, a uno de los desarrolladores del virus troyano para extraditarlo, después, a EE.U.U. donde se enfrenta a una treintena de cargos por sus crímenes online. Desde entonces, no hemos sabido nada más sobre SpyEye.
Zeus
Es el turno de Zeus. Bajo el nombre de un dios griego, este troyano es sinónimo de eficacia y precisión. Desde que se hizo público su código fuente en 2011, parece que todos los troyanos bancarios tienen algo de Zeus en ellos. No obstante, solo éste dispone de su propio espacio en Wikipedia e, incluso, en nuestro blog, Viruslist, existen más de 22 artículos relacionados con él. Tal es la popularidad de este virus que se podría escribir una novela de la misma longitud que “El Quijote” narrando sus maldades; aunque sería prácticamente imposible relatar cada una de ellas. Apareció en escena en 2007, tras un ataque contra el Departamento de Transporte de EE.UU. Desde aquella primera campaña, Zeus ha infectado diez millones de equipos y robado cientos de millones de dólares hasta que sus creadores revelaron su código fuente. Desde entonces, cientos de individuos han dado con sus huesos en la cárcel por participar en estafas donde Zeus era el protagonista. Además, este malware se convirtió en el azote de bancos, agencias gubernamentales o instituciones públicas. La lista de víctimas de este ataque online es realmente extensa.
Zeus también se ha hecho famoso por su hermano pequeño, la versión móvil ZitMo que es capaz de sortear los sistemas dobles de verificación que envían el código de acceso a través de un sms. Por cierto, sus compañeros, SpyEye y Carberp, también ha desarrollado sus modelos móviles de virus.
Dejando a un lado su faceta de troyano bancario, Zeus se ha convertido en uno de los malware más conocidos a escala internacional, solo precedido por Stuxnet.
La protección
Cualquiera de estos “Cuatro Magníficos” comparten las mismas propiedades: eluden los antivirus, interceptan las pulsaciones de teclado, almacenan los archivos y ayudan a los cibercriminales a husmear en las cuentas de las víctimas y a transferir su dinero ilegalmente. Incluso, estos programas intentan instalarse en los dispositivos móviles para que los creadores accedan a los códigos de seguridad que envían las entidades bancarias a través de sms.
Entre otros tipos de malware, los troyanos bancarios son los más dañinos; por este motivo, una buena solución de seguridad informática debe incluir herramientas que protejan a los usuarios de estos programas maliciosos como la funcionalidad de los productos de Kaspersky Lab, Safe Money, que ha sido implementada en las últimas versiones de Kaspersky Internet Security-MultiDevice y Kaspersky PURE. Aquí os dejo un consejo de nuestro blog que os enseña a activar esta funcionalidad.