ESETha analizado los patrones de comportamiento de un potente troyano denominado Qadars y que está afectando de forma muy activa a bancos europeos, especialmente en Holanda, Francia, Italia, Canadá, India y Australia.
Qadars utiliza una amplia variedad de formas de ataque, algunas de las cuales utilizan componentes del sistema operativo Android y que son capaces de sobrepasar los sistemas de doble autenticación que utiliza la banca online. El troyano elige a los usuarios en regiones específicas y utiliza archivos de infección que imitan los sitios web más populares de las entidades financieras. El malware fue descubierto por el laboratorio de ESET hace seis meses y en este tiempo ha venido actualizándose de forma regular.
Detectado como Win32/Qadars, el malware utiliza un esquema “Hombre en el Navegador” (Man-in-the-Browser en sus siglas en inglés, una forma de espionaje que afecta al navegador y que controla la actividad de la víctima, especialmente cuando accede a banca online) para llevar a cabo sus delitos. El virus se incrusta en los procesos de los navegadores Firefox o Explorer e inserta contenido en las páginas observadas por el usuario. Algunos de los ataques son especialmente sofisticados y realizan transacciones automáticamente incluso traspasando los sistemas de autenticación de doble factor implantados por los bancos.
“El contenido puede ser cualquier cosa, pero normalmente aparece como un formulario que recoge las credenciales de la víctima o un código Javascript diseñado para realizar transferencias automáticas sin consentimiento ni conocimiento del usuario”, afirma Jean-Ian Boutin, investigador del laboratorio de ESET en Montreal (Canadá). “Qadars modifica el archivo de configuración de forma frecuente y atenta contra instituciones específicas. Para maximizar sus ataques, los delincuentes han elegido ciertas zonas del mundo donde están infectando a los usuarios”.