Troyanos financieros diseñados para minimizar la detección de operaciones ilegítimas por los sistemas antifraude

Buenas,

Durante los últimos días el mundillo de la lucha contra el malware
ha sido testigo de la aparición de una nueva generación de troyanos
financieros con un nivel de sofisticación extremadamente elevado.

Según lo que se puede leer en el último informe trimestral de Finjan Cybercrime Intelligence Report, esta nueva generación de troyanos demuestra de una manera bastante convincente que los creadores de malware
tienen conocimientos precisos sobre cómo actúa la industria financiera
en términos preventivos para evitar que sus clientes sufran quebrantos
ocasionados por la contaminación por malware.

Tal y como se describe en el informe, una de las muchas maneras que
hay de tratar de contener transacciones de salida de capital de los
productos financieros de las víctimas es la implantación de controles
de patrones comportamentales. En el argot es frecuente denominar a
estos controles como de detección de actividad inusual, y básicamente
se trata de levantar alarmas y establecer bloqueos preventivos cuando
se producen movimientos que no corresponden al patrón habitual del
cliente. Si un cliente tiene dos transferencias periódicas mensuales de
salida por importe de 500 y 1000 euros respectivamente, si se produjera
una transferencia de salida de, por ejemplo, 3000 euros, esta operación
se consideraría inusual, y lo normal es frenarla y solicitar al cliente
una autorización adicional sobre la misma (obtenida , por ejemplo, tras
consulta telefónica)

Esta nueva familia de troyanos financieros ataca al sistema donde
más le duele: tratando de anular los beneficios que aporta el análisis
de patrones comportamentales del cliente del que se alimentan los
sistemas antifraude más modernos. Así, estos troyanos tienen capacidad
para asegurar que el saldo contable de la víctima sea positivo, de que
las transacciones no superen los límites establecidos para la
declaración de actividad inusual y realizando movimientos de salida
aleatorios, lo que complica la vida en extremo a los sistemas
antifraude basados en umbrales y repetitibilidad de operaciones. En la
página 5 del informe se puede ver cómo configurar el troyano para los
exploradores más habituales, así como establecer los umbrales máximos y
mínimos a utilizar.

La cantidad a sustraer se calcula meticulosamente por el troyano
usando, tal y como se muestra en la página sexta del informe, algunas
variables de control para evadir la detección de los sistemas
antifraude:

Si la cantidad excede el límite que tiene designado el usuario como
máximo autorizado para transferir en el canal Internet, la operación no
se realiza.
Se calcula la banda entre la cantidad máxima permitida y la mínima que origina saldo deudor del cliente.
Se calcula un porcentaje determinado en esa banda.
La cantidad final resulta de aplicar un factor aleatorio a las
cantidades calculadas tras aplicar el porcentaje a la banda permitida.
Una vez realizada la sustracción, el troyano comunica a su centro
de control los datos finales de la operación, como la cantidad
transferida, versión del explorador, límites de operación, números de
cuenta, etc.
Para minimizar las posibilidades de que un usuario advierta en sus
movimientos las operaciones fraudulentas, el troyano falsea los
resultados mostrados en la banca a distancia, ocultando las operaciones
fraudulentas y mostrando un saldo contable adulterado que no recoge las
operaciones ilegítimas. En otras ocasiones, se manipula la cantidad a
mostrar para que el usuario, en caso de tener muchos movimientos, lo
tenga difícil para diferenciar las cantidades fraudulentas de las
usuales.

El informe ejemplifica una operación fraudulenta realizada en Postbank con esta última característica:

09:39:04 2009-08-24 GMT FJFAFJP1HAWOHNCAIN
NAME=POST1
USERHOST=postbank.de
USERACC=[REMOVED]
USERPASS=[REMOVED]
BALANS=2027.69
INET_LIMIT=15000.00
DISPO_LIMIT=7000.00
MAXBETRAG=
BLZ=60050101
TRUEAMOUNT=53,94
AMOUNT=8576,31
=|LBBW/BW-BANK STUTTGART|
=|xxx xxx|
=|1000000001|
=|60010070|
=|Ref Num 123456|
=|Ref Num 123456|
=|Ref Num 123456|
=|Ref Num 123456|
COMMENT: Tigr
EXINF=
DATE: 24.08.2009
VERSN: iexplore.exe 6.0.2900.2180
IP: 77.0.000.000

El troyano, en vez de mostrar en los movimientos la cantidad real de
salida (8576,31 euros) inyecta en el navegador una cantidad irreal de
53,94 euros, lo que hará más difícil, por parte del usuario, advertir
el carácter ilegítimo de la operación. Con este método, los
investigadores estiman que del 11 de agosto al 26 de agosto se
sustrajeron 193.606 euros, sobre 12.000 euros al día. Del 30 de agosto
al 1 de septiembre se sustrajeron 42.527 euros, totalizando unos 21.000
euros por día. Con estos números, se estima que anualmente se pueden
sustraer con relativa comodidad del orden de 5 millones de euros. No
está nada mal.
La proliferación de estos troyanos es una mala noticia para todos menos para los amigos de lo ajeno.
Malo para el bolsillo del usuario y su confianza en un canal que
necesita inspirar confianza, y malo para los estrategas de seguridad en
instituciones financieras, que tendrán que revisar detenidamente los
métodos estáticos y comportamentales de detección de fraude.

Desde el punto del vista del usuario las acciones a tomar son
mantener la cautela y ser extremadamente precavidos cuando operamos en
Internet. Maneras de evitar contaminación son, por ejemplo, no navegar
sitios que no sean de nuestra confianza, hacer caso omiso a los correos
no esperados, evitar la descarga y uso de software que no sea de
confianza, y tratar por todos los medios de habilitar medios de
detección de fraude alternativos, como las alertas al móvil. Si se
tiene el conocimiento suficiente, emplear navegadores sobre máquinas virtuales es una opción muy recomendable.

Desde el punto de vista de las instituciones financieras, paciencia, elevar a CAPEX
casos de estudio con previsiones realistas y dotar partidas
presupuestarias para mejorar los sistemas antifraude. Poner a la
disposición del cliente cuantos más medios para que él mismo advierta
operaciones inusuales es otra práctica recomendable. Este troyano en
concreto ataca a instituciones alemanas, pero viendo esos números tan
jugosos, no me cabe duda de que atacará otros países. Probablemente lo
esté haciendo ya.

Si alguien tiene dudas sobre cómo operar de manera segura en banca a
distancia, que deje un comentario. En la medida de lo posible trataré
de aportar mi granito de arena