ESET descubre un nuevo troyano para Android: Spy.Hesperbot, que afecta a usuarios de banca electrónica en Europa y Turquía

Madrid, 11 de septiembre de 2013.- El laboratorio de investigación y análisis de malware de la sede central de ESET, en Bratislava, ha descubierto un nuevo y peligroso troyano bancario, detectado como Hesperbot, que afecta a usuarios de banca electrónica en Europa y Asia, y que utiliza campañas de propagación bien diseñadas y creíbles relacionadas con entidades de confianza con las que consigue engañar a los usuarios para que ejecuten el malware.

Numerosas víctimas han sufrido ya robos de sus activos bancarios por culpa de esta amenaza recién descubierta. Basando la información en los datos recolectados por Livegrid -el sistema de identificación de malware basado en la nube de ESET–, ya se han producido varios cientos de infecciones en Turquía, mientras que también se han observado docenas de infecciones en la República Checa, Reino Unido y Portugal. Todo hace presagiar que seguirá extendiéndose por otros países europeos.

Este peligroso y sofisticado malware bancario nombrado como Hesperbot se está propagando utilizando correos similares a los de phishing y también intenta infectar dispositivos móviles que funcionen con Android, Symbian y Blackberry.

Detectado como Win32/Spy.Hesperbot, esta amenaza incorpora características de keylogger, puede generar capturas de pantalla y vídeos y establecer un proxy remoto, incluyendo también algunas técnicas más avanzadas como crear una conexión remota al sistema infectado.

“El análisis de la amenaza reveló que estábamos tratando con un troyano bancario, con funcionalidad similar y objetivos idénticos a los conocidos Zeus o SpyEye, pero las significativas diferencias nos indicaron que se trataba de una nueva familia de malware, no una variante de un troyano conocido”, explica Robert Lipovsky, investigador de malware de ESET que lidera el equipo encargado de analizar esta amenaza. “Los productos de ESET como ESET Smart Security y ESET Mobile Security ofrecen protección frente a este malware”, añade.

Los atacantes buscan obtener las credenciales de acceso a las cuentas bancarias de la víctima y conseguir que instalen un componente móvil del malware en su teléfono Symbian, Blackberry o Android.

La campaña de propagación de este malware en la República Checa comenzó el 8 de agosto de 2013. Los ciberdelincuentes registraron el dominio www.ceskaposta.net, que es muy similar al sitio web verdadero del servicio postal checo. “No es ninguna sorpresa que los atacantes intentaran engañar a las víctimas para que ejecutaran el malware enviando correos electrónicos similares a los usados en el phishing y que simulan ser información de seguimiento de envíos realizada por el servicio postal. Esta técnica ha sido usada en numerosas ocasiones anteriormente“, afirma Lipovsky. El servicio postal checo respondió a esta amenaza muy rápidamente lanzando una alerta sobre este engaño en su página web.

Sin embargo, el país más afectado por este troyano bancario es Turquía, con detecciones de Hesperbot desde fechas anteriores al 8 de agosto. De hecho, se han registrado incrementos de la actividad de esta botnet que fueron observados en Turquía en julio de 2013, pero ESET también ha encontrado muestras anteriores que se remontan al menos hasta a abril de 2013. El correo de phishing que se enviaba a las víctimas potenciales simulaba ser una factura. Una variante de este malware también ha sido encontrada propagándose, estando diseñada para afectar a usuarios residentes en Portugal y Reino Unido.

Se puede encontrar un análisis más detallado de este malware disponible en un post del Blog del Laboratorio de ESET España.