OneSpan Blog

Protección de las aplicaciones de banca móvil contra el reciente troyano de PayPal para Android y el abuso de la accesibilidad de Android

Seguridad de aplicaciones móviles
OneSpan Team,
Locked iPad

Los servicios de accesibilidad de Android facilitan la interacción de las personas con las aplicaciones o dispositivos Android sin la interfaz de usuario tradicional. Por desgracia, los atacantes pueden abusar de esas mismas funciones útiles para estafar a los usuarios y a las instituciones financieras (IF), como en el caso de un troyano de PayPal para Android capaz de robar 1.000 dólares a los usuarios en cuestión de segundos a pesar de que la aplicación utiliza la autenticación de dos factores (2FA). Afortunadamente, un enfoque por capas de la autenticación y la seguridad de las aplicaciones móviles puede proteger su aplicación contra este tipo de ataques.

Algunos ejemplos de las ventajas que ofrecen los servicios de accesibilidad de Android son permitir que una persona con baja visión controle una aplicación o un dispositivo con su voz o que una persona con poca destreza utilice un dispositivo de hardware externo para navegar por una aplicación sin tener que deslizar y pulsar pequeños botones con el dedo. Sin embargo, la activación de las funciones de accesibilidad de Android permite a una aplicación interactuar con otras aplicaciones del dispositivo sin la intervención tradicional del usuario, y puede tener ramificaciones de las que el usuario típico no es consciente.

A finales del año pasado, los investigadores descubrieron un malware móvil de última generación capaz de desangrar las cuentas de PayPal de los usuarios de Android en un abrir y cerrar de ojos. Este es uno de los ejemplos más sofisticados de malware para móviles que el mundo ha visto. La seguridad corriente de las aplicaciones no puede competir con estos ataques más avanzados y, en este caso, ni siquiera la autenticación de dos factores pudo detenerlos.

El troyano de Paypal para Android: ¿Qué ha pasado?

El malware, publicado en una tienda de aplicaciones de terceros, se hacía pasar por una aplicación de optimización de la batería -llamada Optimization Android-, pero no ofrecía tal funcionalidad. Después de que un usuario descargara la aplicación de una tienda de aplicaciones de terceros y la iniciara, el malware se cerraba inmediatamente y ocultaba su icono. A continuación, el malware pedía al usuario que habilitara un servicio de accesibilidad en el dispositivo llamado "Habilitar estadísticas"

A partir de ahí, el malware identificaba si PayPal estaba instalado en el dispositivo y, en caso afirmativo, solicitaba al usuario con urgencia una notificación para "Confirmar su cuenta inmediatamente". El malware burlaba el 2FA de la aplicación esperando a que el usuario se conectara. Una vez que el usuario introdujo el código de seguridad recibido por SMS, el malware se abalanzó sobre él.

Abusando del servicio de accesibilidad, la aplicación imita al usuario pulsando automáticamente botones e introduciendo texto en la interfaz de PayPal para enviar 1.000 dólares o 1.000 euros a la cuenta del atacante en menos de cuatro segundos. Dado que el malware actúa con tanta rapidez en el envío de la transacción, realmente no hay tiempo para que el usuario intervenga.

El malware también incluía funciones más conocidas de los troyanos bancarios para móviles, como la presentación a los usuarios de pantallas superpuestas que suplantan las credenciales o los datos de las tarjetas de pago. Pero, un malware que automatiza las acciones de los usuarios, se dirige a una aplicación de pagos en tiempo real y es capaz de estafar a los usuarios en segundos no se había visto antes. Peor aún, podría ser una señal de lo que está por venir.

Mobile App Shielding
White Paper

Protección de aplicaciones móviles

Descubra cómo el blindaje de aplicaciones con protección de tiempo de ejecución es clave para desarrollar una aplicación de banca móvil segura y resistente.

Descargar ahora

La evolución de las amenazas móviles y los pagos en tiempo real

Un artículo del New York Times publicado a principios de este año relataba múltiples historias de consumidores víctimas de esquemas de fraude que aprovechaban Zelle como canal de pago. Los defraudadores tuvieron éxito en estos casos debido a técnicas de ingeniería social más que por cualquier debilidad de seguridad inherente a la plataforma Zelle.

Una socia de PwC citada en el artículo dijo que sabía de un banco que experimentaba una tasa de fraude del 90% en las transacciones de Zelle. También dijo que muchos bancos implementan Zelle sin las protecciones adecuadas, como la 2FA o la supervisión del comportamiento del usuario. Más tarde, PwC emitió una corrección en la que afirmaba que la estadística del 90% no estaba corroborada y que la mayoría de los bancos tienen implantados fuertes controles de autenticación.

En el reciente ataque dirigido a PayPal para Android, la autenticación de dos factores no hizo nada para mitigar el fraude. El malware lo sorteó simplemente esperando. No todos los usuarios son expertos en seguridad, como ilustra el caso de fraude de Zelle. Las instituciones financieras deben proporcionar más ayuda y protección en esta batalla contra los ciberdelincuentes, porque sus usuarios se enfrentan a un oponente formidable.

Los usuarios merecen más apoyo en materia de seguridad en un panorama de amenazas cada vez más hostil

Los usuarios ya lo tienen bastante difícil. El ecosistema móvil es un salvaje oeste con numerosos problemas, como dispositivos vulnerables que los usuarios no pueden actualizar y aplicaciones maliciosas distribuidas dentro y fuera de las tiendas de aplicaciones oficiales. Los desarrolladores pueden o no tener tiempo para garantizar que sus aplicaciones manejen los datos de los usuarios de forma segura. No se sabe cuál es el estado de seguridad del dispositivo de un usuario móvil, sobre todo porque el malware sigue madurando y es cada vez más clandestino.

Sin embargo, hay esperanza. Las instituciones financieras deben contrarrestar estos métodos con la misma innovación. Ahora es el momento de que las instituciones financieras adopten tecnologías de seguridad avanzadas, como el blindaje de aplicaciones móviles, la autenticación adaptativa inteligente y la biometría del comportamiento, para reducir el fraude en el canal móvil y proteger a los usuarios de sí mismos. Lo mejor de todo es que estas tecnologías protegen a los clientes y a las IF del fraude sin entorpecer innecesariamente la experiencia del usuario.

Cómo protegerse de los troyanos bancarios móviles que abusan de los servicios de accesibilidad de Android

El troyano para Android de Paypal fue capaz de explotar la aplicación de PayPal debido a una simple suposición. Una vez autentificado el usuario, la aplicación asume que se está ejecutando en un entorno seguro. Eso es obviamente incorrecto. La supervisión continua de la sesión del usuario es necesaria para proteger continuamente el tiempo de ejecución de la aplicación móvil.

El troyano para Android de PayPal supervisaba los procesos que se ejecutaban en la aplicación y, si reconocía el proceso de PayPal, se ponía a trabajar. El blindaje de aplicaciones habría hecho que el nombre del proceso de PayPal fuera irreconocible, de modo que la aplicación de PayPal quedara esencialmente oculta para el malware. Esto habría protegido proactivamente contra el ataque, incluso en un dispositivo comprometido.

Una vez iniciada la transferencia de dinero, el hecho de que se tratara de un pago a un destinatario recién añadido y por un valor relativamente alto habría sido reconocido por la Autenticación Adaptativa Inteligente (AIA). IAA habría solicitado al usuario una autenticación adicional para confirmar y/o firmar la transacción. Con ese control, el usuario habría tenido la oportunidad de detener la transacción.

Por último, si la biometría del comportamiento estuviera integrada en la aplicación, la tecnología habría marcado las interacciones automatizadas como no humanas, sin importar la velocidad, y habría impedido que se ejecutara la transacción fraudulenta. La biometría del comportamiento capta la forma en que un usuario suele utilizar su dispositivo durante un periodo de tiempo (por ejemplo, cómo teclea, el ángulo en que suele sujetar su dispositivo) y define un perfil de usuario basado en un algoritmo. Si las interacciones que se producen en el teléfono no coinciden con el perfil, la aplicación detendría la operación o pediría medidas adicionales de autenticación.

Lo mejor de todo es que tanto el blindaje de la aplicación como la biometría de comportamiento son salvaguardas de seguridad discretas que no interrumpen la experiencia del cliente a menos que algo vaya mal. Esencialmente, se trata de medidas de seguridad invisibles, y están disponibles y en uso por algunas IF con visión de futuro hoy en día.

Ya es hora de que las instituciones financieras se adapten a las amenazas móviles cada vez más sofisticadas con una seguridad sofisticada de las aplicaciones móviles. Las IF necesitan una seguridad capaz de proteger a los usuarios y defender las aplicaciones en entornos no fiables y potencialmente hostiles.

OneSpan Team
OneSpan Team

The OneSpan Team is dedicated to delivering the best content to help you secure tomorrow's potential. From blogs to white papers, ebooks, webinars, and more, our content will help you make informed decisions related to cybersecurity and digital agreements.

Volver arriba
Compartir