El Talón de Aquiles de Back-End permite ataques a banca móvil
|Las aplicaciones móviles son prácticas y fáciles de usar, pero en ocasiones los desarrolladores no se enfocan lo suficiente en el back-end.
Las grandes compañías de Internet, como Amazon, Facebook y Google, proporcionan servicios de back-end para muchas aplicaciones con funciones de gestión de datos y almacenamiento. Los desarrolladores deberán priorizar el implementar el acceso a esos servicios considerando la seguridad.
A comienzos de este año, McAfee Labs se asoció con Technische Universität Darmstadt y Fraunhofer SIT para explorar la exposición de back-end de dos millones de aplicaciones móviles. Lo que se descubrió fue que a menudo son inseguras, permitiendo acceso no autorizado a su almacenamiento en la nube, incluyendo nombres completos, direcciones de correo electrónico, contraseñas, fotos y transacciones financieras. Esta información podría ser utilizada para el robo de identidad, distribución de malware o fraude financiero.
De acuerdo al Informe de Amenazas de McAfee Labs: Noviembre de 2015, algunos desarrolladores de aplicaciones móviles no siguen las guías de seguridad que proporcionan los servicios back-end. Una de las recomendaciones más importantes es utilizar un canal diferente para la manipulación de registros de datos importantes de la actividad básica de la aplicación. De lo contrario, alguien con conocimientos técnicos mínimos puede fácilmente extraer la clave y leer, actualizar o eliminar registros.
Irónicamente, las aplicaciones móviles que contienen malware no siguen las guías de seguridad de los servicios de back-end que utilizan, permitiendo a los investigadores de McAfee Labs analizar sus actividades maliciosas. Fueron analizadas 294.817 aplicaciones móviles de malware y descubrimos que 16 empleaban malas prácticas de codificación de seguridad cuando se conectan al popular back-end Facebook Parse. Estos se asociaron a dos familias de troyanos de banca móvil, Android/OpFake y Android/Marry. Facebook ha sido notificado, y estas cuentas han sido cerradas.
Se ha analizado estos troyanos para comprender cómo funcionan y qué información recopilan. Tras la instalación, comúnmente desde un enlace malicioso en un mensaje de texto que pretende ser de una popular aplicación de mensajería instantánea rusa, el malware oculta su ícono y comienza un servicio en segundo plano para interceptar mensajes SMS y enviar la información del usuario a su servidor de control. Los agentes de malware utilizan el servicio back-end, mientras que gestionan comandos para cada teléfono infectado, esperando mensajes SMS desde aplicaciones bancarias que puedan modificar y reutilizar.
Durante los meses de junio y julio, sólo estas dos familias de malware interceptaron casi 170.000 mensajes SMS, la mayoría de ellos personales, causando impacto en la privacidad de las personas infectadas. Sin embargo, dentro de estos mensajes hubo diversas transacciones bancarias, tales como consulta de números de tarjetas de crédito, consulta de saldos de cuentas y realización de transferencias de fondos. Más de 20.000 comandos fueron ejecutados durante este tiempo, la mayoría, fraudes financieros.
Contando el número de identificadores de dispositivos únicos en el almacén de datos de malware de servicios de back-end, se determinó que casi 40.000 usuarios se vieron afectados por estos dos troyanos.
A continuación te entregamos unas simples recomendaciones, para que tu información bancaria caiga en manos de los ciberdelincuentes:
- Ten cautela y cuidado con las aplicaciones móviles que descargas a tu celular. Si no estás totalmente seguro de que utilizarás dicha aplicación, mejor evita descargarla.
- Debido a que es muy difícil saber qué tan segura es una aplicación de back-end particular, lo que se recomienda se quedarse con las aplicaciones conocidas con validación de seguridad de terceros.
- Evita el rooting de su dispositivo, o asegurate de removerlo después del uso de cualquier privilegio de administrador, ya que el malware frecuentemente aprovecha este acceso para instalar silenciosamente aplicaciones sin su consentimiento.