Detectan un nuevo troyano bancario listo para infectar varios servicios de banca ‘online’

Analistas de Kaspersky Lab han difundido el descubrimiento de un nuevo troyano diseñado para infectar las páginas web de bancos y organizaciones financieras. La empresa de ciberseguridad rusa ha advertido sobre la peligrosidad de este nuevo ‘malware’ llamado NukeBot, que estaría listo para atacar, según detallan en un comunicado.

Este troyano bancario es capaz de infectar los servicios de banca ‘online’, inyectando código malicioso para robar los datos de los usuarios y falsificar sus credenciales. Kaspersky Lab ha detectado varias muestras y borradores de NukeBot en diversos foros de ‘hacking’, y aunque la mayoría son archivos no operativos, se han identificado algunos que pueden representar una amenaza.

Los analistas de la empresa han detectado que estas versiones activas de NukeBot podrían infectar al menos a seis bancos de Francia y EEUU. No obstante, esta lista de objetivos “solo es el principio” según Sergey Yunakovsky, experto en seguridad de Kaspersky Lab.

“Queremos advertir a la comunidad bancaria ya los clientes de banca ‘online’ sobre una posible amenaza emergente”, advierte Yunakovsky.

Según el experto en ciberseguridad, es muy probable que NukeBot repita la rutina que ya han seguido otras familias de ‘malware’. Es decir, el troyano se encuentra en un pequeño periodo de prueba para después ser distribuido masivamente a través de la red.

Como medida de prevención ante un posible ataque bancario, Kaspersky Lab recomienda a las empresas que ofrecen servicios bancarios ‘online’ contar con una solución de prevención de fraude. De esta forma, los bancos pueden detectar el uso no autorizado en las cuentas de los clientes.

Y precisamente, los clientes también tienen que tener cuidado. Aparte de realizar una revisión del sistema para detectar posibles infecciones, Kaspersky Lab también recomienda utilizar un programa para proteger las transacciones financieras en Internet como Safe Money.

Fuente: europapress.es

Anuncios

Maseratis y áticos de lujo: estos son los capos del mayor timo de telefonía en España.

 

Se trata de una de las mayores presuntas estafas en telefonía móvil llevadas a cabo en las útimas décadas en España: 30 millones de euros defraudados a más de un millón de ciudadanos a través de aplicaciones que realizaban llamadas y envíos de SMS prémium sin consentimiento expreso de los usuarios. La trama, desmantelada recientemente por la Unidad Central Operativa (UCO) de la Guardia Civil en la llamada operación Rikati, implica a media docena de compañías y directivos, aunque, según la investigación, tiene dos cabecillas claros: las empresas catalanas Billy Mobile (fundada por dos de los impulsores del difunto portal de descargas SeriesYonkis) y Monsan, con sede en Mollet del Vallès (Barcelona). Sus creadores se enfrentan ahora a penas que podrían llegar a los seis años de cárcel.

Cabecillas y colaboradores necesarios. Así definen fuentes conocedoras de la investigación el papel de las compañías Billy Mobile y Monsan, en una trama empresarial que la Guardia Civil califica de “macroestafa millonaria”. Ambas se dedicaban oficialmente al negocio del ‘marketing’ en el móvil y los SMS prémium. En realidad, según detalles de la instrucción del caso a los que ha tenido acceso Teknautas, llevaban desde el año 2013 encargando a otras empresas el desarrollo de aplicaciones fraudulentas que, una vez descargadas, realizaban llamadas de tarificación adicional y envíos de SMS prémium sin el consentimiento de los usuarios.

La Guardia Civil ha detectado hasta 40 aplicaciones (ahora ya desactivadas) subidas tanto a la tienda oficial de Google (Play) como a tiendas no oficiales. Se trataba de programas con nombres atractivos, como ‘Linterna led’ o ‘Trucos de WhatsApp’ que, una vez descargados, realizaban los cobros fradulentos a los usuarios. El negocio era redondo. Tras el lanzamiento de una aplicación, Billy Mobile, Monsan y el resto de intermediarios llegaban a repartirse más de 250.000 euros en apenas 15 días, justo antes de que Google detectara el fraude de la ‘app’ y la retirara. En el periodo en el que realizaron estas prácticas, entre mediados de 2013 y 2015, según la investigación, llegaron a timar unos 30 millones de euros a más de un millón de ciudadanos en España.

Estas estafas antes funcionaban anunciándose en concursos de televisión, pero eso era el Club Zed y toda esa basura. Ahora esto ha evolucionado a una forma más sibilina. Casi nadie sabe que si te descargas una ‘app’ esta puede, por ejemplo, hacer llamadas o enviar SMS de madrugada sin que te enteres. Lo sabrás a final de mes, cuando pagues 20 o 30 euros extra en la factura a tu operadora. Pero es tan difícil reclamar esa cantidad que la gente no la pelea. Se cabrea, pero no la reclama. Las operadoras se llevan automáticamente un porcentaje de ese dinero, al final saben que se está produciendo una actividad ilegal. Y pueden denunciarlo o no”, explica a Teknautas un experto en ciberseguridad que ha colaborado en la investigación de la Guardia Civil.

Un engaño por capas

Fue precisamente la denuncia de una operadora, Telefónica, personada como perjudicada en el caso junto a Vodafone, la que inició a mediados de 2013 la investigación de la Guardia Civil. Por aquel entonces, Billy Mobile aún no existía como tal sino que dos de sus creadores, David Martínez y Jordi Tamargo, impulsores de SeriesYonkis, montaron antes la empresa Crazy Networks, con sede social en Hong Kong.

Según detalla la investigación llevada a cabo durante tres años y recogida en una causa de más de siete tomos con miles de páginas, Crazy Networks por un lado comenzó a realquilar números SMS prémium a Monsan y, por otro, a crear diversas “empresas pantalla” para el desarrollo de las aplicaciones. Asociando esas aplicaciones a los números prémium, el anzuelo estaba listo. Solo bastaba comenzar a distribuir las ‘apps’ tanto en la tienda oficial Google Play como en otras de terceros, hacer publicidad en Facebook y otras redes sociales para aumentar el número de descargas, y esperar los ingresos.

La forma de operar de Crazy Networks ya hizo saltar las alarmas en 2014. Los programadores José C. Agudo y Miguel Ángel Cardenete detectaron a comienzos de ese año una aplicación sospechosa: ‘Linterna led’. Su descripción: “Hace brillar el led más que ninguna otra ‘app’ de linternas, y es totalmente gratuita”. ¿Cómo demonios lograba hacer brillar el led más que los demás? ¿Y era gratis de verdad? Decidieron descargarla para destripar su código y averiguarlo. Y sorpresa.”Nada más ejecutarse, esta ‘app’ lee tu número de teléfono, se conecta a internet y da de alta el número en una página de servicios ofrecidos vía mensajes

“Nada más ejecutarse, esta ‘app’ lee tu número de teléfono, se conecta a internet y da de alta el número en una página de servicios ofrecidos vía mensajes SMS. Rápida y mortal”, explicaban Agudo y Cardenete en un detallado artículo técnico hace tres años. Para evitar fraudes, los operadores envían en estos casos un SMS automático con un PIN que sirve para darse de alta. El problema: la ‘app’ lo sabe, espera el SMS, lo lee de forma automática y extrae el PIN para darse de alta ella sola en un servicio de pago por suscripción. Y todo sin permiso expreso ni conocimiento del usuario.

Google retiró la aplicación a los pocos días, pero ya era demasiado tarde. Había recibido al menos 10.000 descargas desde la tienda oficial Play, y otras 100.000 en foros de terceros, donde también se acumulaban las quejas. José y Miguel Ángel estimaban que la ‘app’ podría haber recibido hasta 500.000 descargas. Multiplicadas por los 1,5 euros que cobra por SMS enviado de forma automática (asumiendo que solo envíe uno), eso supone 750.000 euros de golpe.

Lo más revelador, sin embargo, llegaba en los términos de uso y servicio (en la imagen): “Servicio prestado por Air Ebites, SL […] La presente aplicación y los contenidos en la misma es responsabilidad exclusiva de Crazy Networks Limited“. Air Ebites SL es una compañía dedicada a las “telecomunicaciones inalámbricas” con sede en Mollet del Vallès, Barcelona, en la misma calle, piso y oficinas que Monsan y, según datos del Registro Mercantil, con Jaime Montané Rodríguez de administrador único. Jaime y Jordi Sans Otero, el otro cofundador y responsable de Monsan, son dos de los siete detenidos por la Guardia Civil en la operación Rikati para desmantelar la trama de empresas que, supuestamente, llevaron a cabo la estafa masiva de 30 millones de euros entre 2013 y 2015.

Jaime Montané aparece como administrador único en hasta ocho empresas activas, entre ellas Air Ebites SL. Una simple búsqueda sobre su pasado revela que lleva al menos 13 años dedicado al ‘marketing’ en el móvil, y con denuncias previas por estafa. En 2004, el juzgado de instrucción número 3 de Valladolid le condenó como autor de faltas de estafa a dos usuarios que habían denunciado, imponiendo una pena de “un mes de multa, a razón de 12 euros por cada uno de ellos”. Miles de clientes pidieron también a Movistaren una carta tomar medidas contra Monsan para “no permitir más estafas” de la compañía. Y ahora la Guardia Civil tiene indicios de que Montané lleva realizando desde hace años la misma actividad delictiva que, supuestamente, realizaba Crazy Networks antes de convertirse en Billy Mobile.

“La gente de Crazy comenzó realquilando a Monsan los números SMS prémium y pedía a otras empresas pantalla el desarrollo de las ‘apps’. Utilizaban una tercera compañía de intermediaria con los operadores, Netsize. Pero en Monsan vieron el negociazo que estaban haciendo y dijeron, ‘¡yo quiero montar lo mismo!’. Y lo hicieron”, explican fuentes cercanas a la investigación, que señalan además las múltiples pruebas incriminatorias sobre la actividad delictiva de Monsan y Billy, especialmente audios en que los empresarios detenidos admiten estar haciendo algo totalmente “timoso”.

Según la investigación, Monsan habría creado además una empresa en Tenerife, Rootmedia Payments (cuyo administrador único fue también Jaime Montané justo entre 2014 y mediados de 2016, hoy es Ismael Peral Rebollo), y otras dos en Sant Cugat, Staff Media Network (cuyo administrador único es José Manuel Íñiguez Richarte) y Entebbe 76 (como administrador único, Marc Porcar Benedito). El objetivo: desarrollar las aplicaciones fraudulentas y usarlas tanto en su propio beneficio, realquilándose números, como para ofrecerlas a terceros.

Según se detalla en la investigación, cuando se realizaron los registros en Rootmedia en Tenerife, la Guardia Civil se hizo con una base de datos de 123.000 usuarios afectados con la que la compañía había logrado ingresar más de tres millones de euros en apenas semanas. “Montaron la sociedad en Tenerife para tener una fiscalidad más favorable y comenzar a crear allí ‘apps’ fraudulentas”, explican.

“En cuanto sospechaban que podían ser detectados con alguna ‘app’, cerraban los números, creaban otros y continuaban“, dicen esas mismas fuentes. El entramado no pasó desapercibido para algunos de los usuarios engañados, que comenzaron a investigar los movimientos de Monsan y publicaron ‘online‘ la lista de empresas a nombre de Jaime Montané.

La Guardia Civil recibió también información de la Agencia Tributaria sobre los movimientos durante los últimos años de los confundadores de Billy Mobile. La actividad de Crazy Networks había levantado sospechas al estar generando altos niveles de ingresos en España pero tener su sede social en Hong Kong. “Hacienda les exigió pasar a tributar en España”, explican fuentes cercanas a la investigación. Y lo hicieron. David Martínez y Jordi Tamargo, según los datos de la causa, crearon Mobileaks para pagar impuestos en Andorra pasando por Luxemburgo, y también otra firma investigada, Tristaina Comerç Internacional, ambas con sede en Barcelona. El último paso sería la creación de Billy Mobile para acabar cesando por completo la actividad de Crazy Networks.

Las miles de páginas de la investigación detallan también el tren de vida de los creadores de Billy Mobile, Monsan y el resto de empresas asociadas. Entre el material incautado a uno de los detenidos, por ejemplo, se encuentran coches de alta gama como un BMW M3. “Los creadores de Billy se movían por Barcelona en Maseratis y tenían áticos de lujo en los mejores barrios de la ciudad”, señalan fuentes cercanas a la causa.

“La Guardia Civil ha montado un espectáculo”

Después de tres años de investigación, ocho empresas implicadas en el caso y siete personas detenidas (David Martínez y Jordi Tamargo, dos de los cofundadores de Billy Mobile; Jaime Montané y Jordi Sans, cofundadores de Monsan; Ismael Peral, de Rootmedia Payments; José Manuel Íñiguez, de Staff Media Network, y Marc Porcar Benedito, de Entebbe 76), el caso del mayor engaño en telefonía móvil en España de las últimas décadas está ahora en manos del juzgado de instrucción número 5 de Mollet del Vallès, en Barcelona. Y hay mucho en juego.

Una pista del alcance la dan los bufetes de abogados que defienden a las firmas imputadas. Por parte de Monsan, Baker McKenzie, uno de los principales despachos a nivel mundial, famoso en España por llevar, entre otros, el caso de Cristiano Ronaldo por supuesto fraude fiscal. Por parte de Billy Mobile, Cristóbal Martell, letrado por cuyo despacho han pasado (y pasan) algunos de los casos más importantes de corrupción en España, como el caso Gürtel, Pujol, Nóos, Messi o Neymar.

“Los creadores de Billy Mobile han pagado el pato por exponerse demasiado en medios”, explican fuentes jurídicas conocedoras del caso. Se refieren justo a David Martínez y Jordi Tamargo, impulsores de la web de descargas SeriesYonkis, adquirida a su fundador y administrador inicial, Alberto García Sola. Martínez y Tamargo anunciaron en 2012 el abandono del proyecto Burn Media SL, propietaria de SeriesYonkis y PeliculasYonkis, para crear Billy Mobile, dedicada a la “publicidad en el móvil”. El caso de SeriesYonkis está también en la actualidad pendiente de juicio en Murcia.

Fuentes cercanas a Billy aseguran que sus creadores están preocupados pero seguros de ganar esta nueva batalla judicial abierta con la operación Rikati. “No hay nada de qué acusarles. Entre 2013 y 2015, Billy Mobile tuvo una participación en Crazy Networks. Pero los productos de Crazy cumplieron en todo momento la legislación vigente y contaron con un sistema de reclamaciones que funcionó con eficacia. Billy Mobile no ha concurrido nunca por tanto en el sector de los servicios prémium, por lo que es ajena a los hechos investigados”, explican. Y puntualizan: “El 99% de la actividad de Crazy Networks cesó en enero de 2015, y el 100%, de forma definitiva, en junio de 2015”.

Otras fuentes jurídicas consultadas aseguran que tampoco hay indicios claros de ilegalidad en la actividad de Monsan. “La Guardia Civil ha montado un espectáculo, la UCO está para perseguir delitos, no para dar ruedas de prensa con fines de promoción interna del personal. No hay una base jurídica clara, imputan un delito de estafa telemática masiva, cuando resulta que las ‘apps’ están aprobadas por operadoras como Telefónica y Vodafone y por una firma de validación independiente, Netsize, además de con el permiso del usuario. Que la petición de consentimiento se viera mejor o peor, que el tamaño de la letra fuera más grande o más pequeño, es otra cuestión”, explican. Estas fuentes señalan además varias secciones de la causa en las que se especifica cómo Monsan avisó a las autoridades en cuanto detectó posibles usos fraudulentos de los números SMS prémium que alquilaba.

Los más de siete tomos de investigación están ahora en manos de Juan Díaz Villar, juez titular del juzgado de instrucción número 5 de Mollet del Vallès. Pasarán meses hasta que se pronuncie una sentencia sobre el caso. Mientras tanto, recuerda: desconfía de las aplicaciones Android que ofrezcan algo imposiblemente apetecible para ser gratis. Y lee siempre los términos de uso. Si no lo haces y las descargas, es probable que lo acabes pagando caro en la factura telefónica de final de mes.

Fuente: elconfidencial.com

Los responsables del virus NotPetya piden 220.000 euros para desactivar su virus por completo

La cartera que almacenaba bitcoins conseguidas por la infección con el virus NotPetya ha sido vaciada durante esta semana

A su vez, exigen 220.000 euros a cambio del código de su programa, con el que se podrían recuperar ciertos archivos infectados

El grupo de personas que estuviera en control de la cartera virtual en la que se han almacenado las bitcoins pagadas a modo de rescate tras la infección del virus NotPetya ha sido vaciada. En total, se han cobrado unos 10.000 dólares en fondos (8.808 euros, aproximadamente), que ahora no se sabe quién posee.

La cifra es bastante baja en comparación con las muchas máquinas afectadas por el ciberataque mundial que ocasionó la infección con NotPetya. Pasadas varias semanas, se calcula que en total afectó a más de 2.000 equipos y que la intención original de los atacantes no era tanto conseguir un dinero como destruir información e infectar equipos hasta que fueran irreparables.

Según informan en Motherboard, los bitcoins se han movido a otra cartera sin identificar y, poco después, hicieron un pequeño pago a Pastebin y DeepPaste, dos páginas en las que se puede subir código gratuitamente y que, en algunas ocasiones, utilizan hackers para comunicarse o hacer anuncios.

Pero antes de que se hicieran estas dos donaciones, un grupo que se hace pasar por los responsables del virus subió a dichas web un anuncio en el que exigían 100 bitcoins (alrededor de 220.000 al cambio actual) por el código que descifra cualquier equipo que haya sido infectado con NotPetya. Dado que algunos archivos no se han podido recuperar tras el ciberataque, esta solución podría resolver el problema que aún afrontan ciertas instituciones y compañías.

Las publicaciones en sendas webs se han hecho con una clave cifrada que se ha relacionado anteriormente con los hackers responsables del virus, por lo que no hay demasiadas dudas con respecto a su autoría.

Las razones que han llevado a este grupo a hacer semejante petición pasado este tiempo no está nada clara, aunque tras hacer el anuncio, publicaron un enlace para acceder a una sala de chat en la que, supuestamente, se podía hablar con ellos y

Según numerosos investigadores, NotPetya fue programado con la intención de hacer el mayor daño posible a los equipos infectados, no para conseguir un rescate por la información secuestrada. Se trataba de un giro poco habitual en los virus del tipo ransomware, que infectan y secuestran información para conseguir dinero a cambio de devolver el control del equipo.

 

Fuente: elmundo.es