Banker-AJ es un troyano que reside de forma silenciosa en los PC con Windows que logra infectar. Únicamente se activa cuando el usuario visita determinadas sedes web de bancos ingleses, capturando las credenciales de acceso e incluso capturando las pantallas para conocer el estado de las cuentas corrientes.

Una de las tendencias que vemos en los últimos meses es la eliminación de las distinciones entre los diferentes tipos de malware. Cada días es más difícil definirlos como simples virus, gusanos, troyanos y otras variantes. La mayoría de los virus actuales utilizan las tácticas de los gusanos para su distribución y muchos troyanos pueden actuar como auténticos virus.

Como muestra de esta nueva evolución del malware, el troyano Banker-AJ. Se trata de un troyano que se instala en los ordenadores que ejecutan el sistema operativo Windows y queda latente, esperando que se realice una visita a alguna de las sedes web de banca online (Abbey, Barclays, Egg, HSBC, Lloyds TSB, Nationwide y NatWest). En el momento que el usuario visita una de estas sedes, el troyano se activa y captura las credenciales de acceso (usuario y contraseña). Esta información es enviada automáticamente a los autores del troyano, de forma que éstos disponen de todos los datos requeridos para poder acceder fraudulentamente a las cuentas de los usuarios infectados.

Pero el troyano va más allá. Para que los autores del mismo puedan determinar si realmente vale la pena utilizar las credenciales obtenidas, el troyano realiza capturas de pantalla mientras el usuario está dentro del banco online. Estas capturas de pantalla también están a disposición de los atacantes, por lo que conocen los saldos de las diferentes cuentas corrientes.

Banker-AJ representa una nueva evolución en el malware, altamente especializado y con un objetivo muy concreto. También puede llegar a considerarse una nueva forma de phishing donde si bien continua necesitando que el usuario realice una operación concreta (acceder a la banca online) esta acción no precisa ninguna actuación específica por parte del atacante como puede ser el envío de un mensaje que simule el servicio web atacado.

Más información:

Trojan Mugs UK Web Banking
http://www.linuxinsider.com/story/news/38058.html

Sophos Virus Analysis: Banker-AJ
http://www.sophos.com/virusinfo/anal...jbankeraj.html

Secunia Virus Information: Banker-AJ
http://secunia.com/virus_information/13289/banker-aj/


Xavier Caballé
xavi@hispasec.com