Bancos

Alerta por 'El Padrino': ataca 30 bancos en España y 400 en todo el mundo

'Godfather' ha atacado 400 entidades bancarias a lo largo de todo el mundo. 30 bancos españoles han sido sus víctimas.

Tarjetas bancarias

Tarjetas bancariasPexels

Publicidad

'El Padrino' está poniendo contra las cuerdas la seguridad de 400 bancos en todo el mundo. 'Godfather' habla ruso y ataca las aplicaciones de bancos, sobre todo en Occidente y Estados Unidos. Un total de 30 bancos en España han sido víctimas de 'El Padrino'. Se trata de un troyano bancario que ha estado apuntando a usuarios de 16 países para robar datos bancarios de 400 entidades por todo el mundo, incluidos sitios de 'exchange' de criptomonedas.

Ha sido descubierto por analistas de Group-IB. Creen que es el sucesor de 'Anubis', el troyano bancario que dejó de utilizarse por su incapacidad para evitar las nuevas defensas de Android. Así lo ha avanzado 'BleepingComputer'. La mayoría de los países afectados son europeos. Una vez que 'El Padrino' infecta un dispositivo, tiene vía libre para hacer todo lo que podría realizar un usuario.

Este troyano genera pantallas de inicio de sesión superpuestas en la parte superior de los formularios de inicio de sesión de las aplicaciones bancarias y de intercambio de cifrado. Engaña a los usuarios para que introduzcan sus credenciales en páginas de 'phising' bien diseñadas.

Por el momento se desconoce en gran medida el método de infección inicial. Si bien Group-IB ha hallado una distribución limitada del 'malware' en aplicaciones de Google Play Store, no se han descubierto los principales canales de distribución.

Casi la mitad de las aplicaciones a las que ataca 'El Padrino' son aplicaciones bancarias. La mayoría se encuentran en Estados Unidos (49), Turquía (31), España (30), Canadá (22), Francia (20), Alemania ( 19), y el Reino Unido (17).

Actuación de 'El Padrino'
Actuación de 'El Padrino' | Group-IB

Detecta el ruso

Una vez que se instala en el dispositivo, solicita acceso a los sistemas del Servicio de Accesibilidad haciéndose pasar por Google Play Protect, y pide la aprobación del usuario. Al dar el 'sí', el malware consigue acceder a todos los permisos del dispositivo. Puede leer mensajes, notificaciones, escribir en almacenamiento externo y comprobar el estado del dispositivo.

Filtra las contraseñas de Google Authenticator y roba el contenido de los campos de contraseñas y PIN del sistema. Se desconoce por el momento el origen de 'El Padrino', aunque cuando detecta que el idioma del dispositivo es el ruso, el azerbaiyano, el armenio, el bielorruso, el kazajo, el kirguís, el moldavo, el uzbeko o el takiyo, se desactiva por completo. Apuntan que el troyano puede ser ruso.

Se recomienda que para estar protegidos de 'Godfather' es necesario descargar solo aplicaciones de Google Play y mantener el dispositivo actualizado. También hay que asegurarse de que Play Protect está activo y mantener y un número reducido de aplicaciones instaladas.

Publicidad