El laboratorio de investigación y análisis de malware de ESET ha descubierto un nuevo y peligroso troyano bancario, Win32/Spy.Hesperbot, con funcionalidad similar y objetivos idénticos a los conocidos Zeus o SpyEye. De momento ha afectado a usuarios de banca electrónica en República Checa, Portugal, Reino Unido y Turquía, aunque según destaca ESET «todo hace presagiar que seguirá extendiéndose por otros países europeos». 

Consigue engañar a los usuarios con métodos similares al phishing  para que ejecuten el código dañino utilizando campañas de propagación bien diseñadas y creíbles relacionadas con entidades de confianza. El malware introduce código en el sitio web suplantado invitando al usuario a instalar una aplicación en su teléfono móvil  por lo que afecta también a dispositivos móviles que funcionen con Android, Symbian y Blackberry.

Recursos afectados

Usuarios que reciban el correo fraudulento y accedan a las peticiones que éste solicita: descargar y abrir el fichero adjunto. Afecta también a dispositivos móviles que funcionen con Android, Symbian y Blackberry.

Solución

Si has recibido un correo de estas características y has descargado y abierto el fichero, es posible que se haya infectado. Es importante analizar el dispositivo con un antivirus para comprobar que no está afectado y de ser así, poder eliminarlo lo antes posible para evitar problemas de seguridad.

Si tiene problemas con la eliminación, desde la OSI, ofrecemos los siguientes servicios de ayuda: Asistente de Seguridad, Atención telefónica en el 901 111 121o Buzón de incidentes.

Evita ser víctima de fraudes de tipo phishing siguiendo nuestras recomendaciones:

  • no abras correos de usuarios desconocidos o que no hayas solicitado, elimínalos directamente
  • no contestes en ningún caso a estos correos
  • precaución al seguir enlaces en correos aunque sean de contactos conocidos
  • precaución al descargar ficheros adjuntos de correos aunque sean de contactos conocidos

Detalles

La ingeniería social es utilizada por los delincuentes en Internet para enviar correos fraudulentos para engañar a los usuarios. En esta ocasión, el equipo de Eset ha detectado que la campaña de propagación de este código dañino comenzó el pasado 8 de agosto de 2013 en la República Checa  registrando el dominio www.ceskaposta.net, que es muy similar al sitio web verdadero del servicio postal checo. Sin embargo, el país más afectado por este troyano bancario es Turquía, con detecciones de Hesperbot desde fechas anteriores al 8 de agosto.

Es cada vez más común que los troyanos bancarios utilicen componentes móviles para poder saltarse las medidas de autenticación bancaria. El malware introduce código en el sitio web que invita al usuario a instalar una aplicación en su teléfono móvil. A la víctima se le ofrece un listado de modelos de teléfono y, tras introducir su número de teléfono, se envía un enlace a su móvil para descargar el componente móvil. Se soportan tres plataformas de móviles: Android, Symbian y Blackberry.

móvil infectado por troyano bancario

Imagen extraída del blog de Eset España

Según el análisis de ESET, Win32/Spy.Hesperbot posee una arquitectura modular. La víctima descarga y ejecuta un archivo ZIP que protege y  empaqueta de forma personalizada un componente de descarga de ficheros (dropper). La función del dropper es inyectar el componente principal del malware (core) en el fichero del sistema explorer.exe. A continuación, el core descarga y carga módulos adicionales, complementos utilizados para realizar acciones maliciosas.

arquitectura modular hesperbot

Imagen extraída del blog de Eset España

El módulo core, se ejecuta ahora en el contexto del explorer.exe, controla las comunicaciones con el servidor C&C (comando y control) y lanza otros módulos complementarios.

Más información en el análisis técnico de ESET.