En medio de la vorágine propia del campeonato mundial de fútbol que se disputa en Rusia –que gracias a la tecnología ya sabemos que selección ganará- y de los cambios relativos al Gobierno de España, la Oficina de Seguridad del Internauta advierte de un nuevo virus que puede amargar a más de uno.

Se trata de un malware al más puro estilo de troyano bancario. Esto es así, señalan desde la OSI, porque combina, por una parte, un keylogger, es decir, siguiendo lo que explican desde la web de los especialistas en seguridad informática Kaspersky, se trata de un hardware o software que “puede interceptar o guardar las pulsaciones realizadas en el teclado de un equipo que haya sido infectado”; por otra, un ransomware, o lo que es lo mismo, la técnica que utilizan los ciberdelincuentes para “bloquear dispositivos y exigir un rescate a cambio de recuperar el acceso”, según Avast, otra de las compañías más destacadas en materia de seguridad informática.

Una vez sabido esto y teniendo en cuenta las opciones que abre para los amigos virtuales de lo ajeno, el aviso de la Oficina se refiere y llama la atención acerca de una de las peculiaridades de este malware que han denominado MysteryBot.

Pantallas superpuestas

Se trata del primer virus bancario capaz de mostrar pantallas superpuestas y creíbles en Android 7 y 8, es decir, es un verdadero peligro.

Esto nos indica que solo los dispositivos con el sistema operativo del robot pueden verse afectados, aunque esa buena noticia se queda únicamente en el titular puesto que hablamos de millones de smartphones o tablets, entre otros.

Desde la Oficina de Seguridad de Internauta. se establecen una serie de pautas a seguir en caso de que se produzca la infección. Así, se recomienda eliminar la app maliciosa y, a continuación, restablecer el teléfono o dispositivo a los valores con los que llegó de fábrica, normalmente en la propia configuración del mismo.

Antes, como suele suceder en situaciones de este tipo, es conveniente realizar una copia de seguridad para no perder todo lo que tenemos en él almacenado (fotos, vídeos, etc.).

Muchos usuarios estarán preguntándose qué es la superposición de pantallas. Esta entidad explica que se trata de “un permiso” que posibilita a las aplicaciones ‘autorizadas’ mostrarse sobre otras herramientas. Así, si accedemos a una app real de un banco, la infección a través de MysteryBot superpondrá otra como si fuera la verdadera, pero una vez se vayan introduciendo los datos estos no van a parar a la entidad financiera, sino a los delincuentes.

Bancos y redes sociales

Del mismo modo, tal y como resaltan los expertos de ThreatFabric que lo han descubierto, los hackers han preparado superposición de pantallas para redes sociales muy conocidas como Facebook o Twitter, pero también para entidades españolas como los bancos Santander, Popular, CaixaBank, BBVA o EVOBank, al margen de empresas como PayPal, entre otras cuyo listado completo puedes comprobar en este enlace.

Sus descubridores, que advierten de que todavía continúan con las pesquisas, indican que el origen de MysteryBot es conocido puesto que podría ser el mismo que creó el troyano bancario Lokibot, no en vano el nuevo “malware es una actualización” de este último, como señalan en su informe.

Asimismo, parece que los virus detectados se han propagado a través de una app falsa de Flash Player para este sistema operativo.

Una vez más, la OSI recomienda para evitar caer en la red de los ciberdelincuentes no descargarse aplicaciones cuyo origen es sospechoso, es decir, bajarse al teléfono solo las que tienen un desarrollador fiable. Otro punto importante es, al margen del número de descargas que acumula la app, tener en cuenta si los permisos que pide son adecuados para el servicio que va a prestar. Aunque por regla general no son adecuados para extraer conclusiones sobre la fiabilidad o no de una herramienta, a veces los comentarios de usuarios pueden ponernos sobre la pista de una estafa. 

Las malas noticias de este malware todo en uno (superposición de pantallas, ransomware y keylogging) no se quedan aquí. Así lo determina la OSI al asegurar que “es posible que se realicen campañas de phishing debido a que se relaciona con un autor que sigue este ‘modus operandi’”. Avisados estamos.