#0 www.meneame.net/story/fedexbanker-nuevo-troyano-bancario-android-utili

#1 No la considero duplicada, en xataka está más explicada "para tontos" con pantallazos de las pantallas que salen. De todas formas, interesante que suban ambas, cuantos más avisos mejor. A mi ya me han llegado 3 SMSs de Fedex con esto.

Mi yerno tiene la cuenta en Ibercaja, vio el mismo día que había hecho unos pedidos que no había hechoy en total le descontaron 1200€, puso denuncia en los mossos, fue a Ibercaja a decirlo, primero le pusieron muchas pegas, al día siguiente le llamaron para decirle que el banco no se lo iba a reponer, y a la hora ya lo tenía todo ingresado otra vez. No quiero pensar mal, pero este banco son unos piratas. Por cierto mi yerno es sargento de la guardia urbana de Barcelona, a lo mejor eso también tuvo algo que ver en la reposición del dinero.

#4 El banco debe tener un seguro para cuando pasan cosas asi, en todo caso la culpa es del banco por no cerciorarse de que la empresa que pedía el pago era legal, no existía ni en internet, era todo muy sospechoso.

Pero entiendo que si tienes un límite de transferencias, no deberian poder vaciarte la cuenta. Yo he puesto 3.000 euros, y si algún día necesito hacer un pago voy al banco y lo aumento en el momento. ¿O pueden saltarse este límite?

#5 #6 Buena pregunta. A ver si alguien nos lo aclara.

#2 Y que los bancos sigan insistiendo en que es más segura la app móvil que usar exclusivamente un ordenador para los temas bancarios...

No es solo de Fedex, llegan de mas agencias.

No hay sistema de seguridad que aguante frente a un usuario ignorante o desprevenido.

#6 Toman control del mivil, pueden cambiar el limite a placer

#6 si tiene las claves para cambiar los límites...

"Después hablamos con Isaac, dueño de una tienda de telefonía en Reinosa (Cantabria) donde repara terminales y soluciona problemas".
Mira qué bien, como el Sr. Lobo.

#12, ahora ya es raro usar las claves, se suelen confirmar las operaciones con una aplicación en el móvil. Y si esta aplicación del meneo es capaz de acceder a esta, ya te tiene controlado.

#10 Exacto, es que llama mucho la atención que la aplicación te pregunta (al menos en Android 9 y 10) si quieres entregar el control total de tu dispositivo o no.

Vamos, que van a robar a los descerebrados que pulsan con sus muñones sin conectar lo que pasa por sus ojos con su corteza cerebral
(es decir, el usuario medio )

#4 A veces asumen demasiados riesgos y a los bancos les roban.

A más de un entendido le he leído que es un secreto a voces que a la banca le roban una buena cantidad de dinero anual desde siempre. El problema es que crear un sistema de seguridad verdaderamente robusto tiene un coste tan desorbitado que siempre les sale más barato asumir las pérdidas.

Además tienen el problema que un sistema seguro siempre sería poco atractivo para el cliente final, y para colmo hoy en día tienen que competir con los sistemas modernos de pago de Internet.

Pero eso son los bancos de los pobres. Los bancos en los paraísos fiscales sí asumen el costo en seguridad, pero estos no compiten por ser modernos, sino que suelen tener sistemas más tradicionales y testados. Bolsas y militares también asumen lo que cuesta la seguridad.

#4 Tus argumentos son más filosóficos que reales.

#8 La escusa es que es normativa europea, pero en realidad es para saber lo que buscás con la cookies y ofrecerte mierdas. Lo sé porque trabaje en un servicio de atención al cliente de un banco.

Si te tienes que descargar una aplicación y darle permisos para controlar todo tu teléfono no me parece tampoco lo mas sofisticado del mundo. Me parece el timo de la revisión del gas de toda la vida. Me parecería sofisticado si a través del enlace te infectara el teléfono con un virus en javascript que hiciera escalado de privilegios para instalar cosas sin tu permiso en el dispositivo. O incluso que fuera una interfaz en visualbasic para localizar tu ip.

#teahorrounclick todo se basa en una app que te dice que va a controlar totalmente tu móvil. Y la gente la instala para recibir un paquete que no ha pedido.

Tan sofisticado el SMS no es, en todo caso lo es el programa si puede acceder a otras aplicaciones. El SMS simplemente tiene una URL.

Es como decir que en un edificio de pisos con ascensor lo sofisticado no es el ascensor, sino la puerta por la cual accedes al edificio. ¡¡¡Que es una simple puerta!!!

#8 yo no tengo banca online porque mi banco me obliga a hacerlo con su app.... asi que voy con la "cartilla" todos los meses a controlar. Me acaba de salir rentable la tranquilidad{lol}

#17 Que la banca contrae una deuda contigo es muy real, que no puede saldarla dándole dinero a otro que pasa por ahí es muy real también.

Y la banca lo sabe, y los jueces lo saben.

Vaya, al parecer en un iPhone el riesgo es mucho menor, qué raro...

#20 Y a eso lo llaman sofisticado virus, yo lo llamaría educado virus porque antes te pide permiso. Ya no se hacen virus como los de antes.

Otro de lo mismo...

"Pulsa aquí urlnadasospechosadeverdaddelabuena.ru.cn y luego descarga e instala esta app tan buena que necesitas para recoger un misterioso paquete.

Cualquiera menor de 60 años que pique con esto merece perder su dinero, está más seguro manos de los estafadores.

#10 #15 Eso se arreglaba haciendo que dar un permiso tan sensible tuviera que ser aceptado 3 veces, cada una con un mensaje con letra más gorda de lo peligroso que es. No hay usuario ignorante que no se acojone ante tres avisos de que lo que está haciendo es peligroso.

#27 espero que recapacites sobre el comentario tan miserable y prepotente que has hecho

#29 Buenooo... compungido me hallo tras tu demoledora acusación, "lo ziento mucho, no vodvedá a ocudid".

#27 ya, el problema es que:

1 . El paquete no es misterioso. Muchos en un momento dado tienen paquetes en trámites de entrega.
2. La URL no es más sospechosa que las que envía legítimas correos.
3. Si le explicas a mi madre de forma que lo entienda lo de los permisos, la cerveza la tienes pagada.

Sé que no es un "sofisticado virus" sino un troyano bastante bueno implementado con buena ingeniería social en un momento favorable. Pero hombre, hacer leña del árbol caído... no sé yo.

#9 Efectivamente. A mí en enero me llegó el mismo con el logo de DHL. Conmigo acertaron porque casualmente estaba esperando un paquete de esta agencia y pique. Instale la aplicación y empecé a ver cosas raras en el teléfono, lo primero es que habían tomado el control de los sms. Intento desinstalarla y era imposible, llamo a DHL y me confirman mis sospechas, ellos no usan ninguna app de seguimiento de envíos.
Ante esto desconecto el teléfono, extraigo la tarjeta y llamo al banco.
Tuve suerte porque actúe rápido pero a costa de anular las tarjetas y claves bancarias y restablecer el teléfono a la configuración de fábrica y cambiar todas las claves y anular pagos con PayPal.
Cuando me llegó la factura del teléfono pude comprobar que en los 20 minutos que estuvo operando la aplicación mandaba cada minuto un sms a un número, -supongo que números aleatorios porque no eran mis contactos- y suerte que mi compañía cobra los sms a 9centimos. con lo que doy gracias que sólo me salió por tres euros la broma. Para finalizar me puse en contacto con mi compañía de teléfono para advertirles de lo sucedido y me ofrecieron bloquear los envíos de sms porque tenían constancia de más casos como el mío a lo que accedí.
Aún así he estado comprobando las cuentas diariamente tanto bancarias como Internet.

#31 Por eso hablaba de menores de 60 años (va, te lo bajo a 50).

Yo lo siento mucho pero no tener nociones básicas de seguridad informática hoy en día (no te instales cosas, no pinches en sitios raros...) es como excusar que una persona no sepa que no hay que cruzar semáforos en rojo. Los medios son muy aficionados a vender el titular "¡La terrible y sofisticada estafa!", y tiene de sofisticada lo que el mail del príncipe nigeriano...

#18 Sí, yo también ando por ahí, y la excusa tiene las patas muy cortas. El objetivo es probablemente (por no decir que seguro) el que tú dices, y la normativa europea la tenían cubierta con la tarjeta de coordenadas, pero parece que les ha servido el argumento para meternos sus apps con calzador. Lo que no entiendo es cómo tantos clientes han aceptado si son (imagino que no lo serán) conscientes de la abismal diferencia de seguridad entre usar una "app" de móvil y usar un ordenador en condiciones. Y ahora empiezan las estafas... Menuda sorpresa.

#22 Bien hecho. ¿Y el banco que sea directamente no da ese servicio? Ya seas alguien que no tiene móvil, o demasiado mayor para las tecnologías, o lo que sea, ¿Directamente no dispone de interfaz online?

Yo he recibido dos mensajes muy parecidos que olían a estafa desde lejos  

#36 El otro

Vigilad  

#28 Jejeje.... ¿Qué no lo hay?

Jajaja, tu no has visto a algunos usuarios.

#8 La app del banco no hay que instalarla nunca. Que te manden los códigos o se entre de otra forma, pero no hay que instalar nada del banco. Android no tienen actualizaciones de seguridad rápidas como en el ordenador, incluso la mayoría de los Androids dejan de tener actualizaciones del fabricante.
Luego el banco te controla a las horas que usas las app, para que las usas, los productos que te interesan y encima con todo esto, cierran sucursales y servicios de atención al cliente.
Si el banco quiere que use su app, que me de un móvil para usar esa app, pero no hay que poner tu móvil a servicio del banco.

#18 La normativa europea es la confirmación por sms, no hace falta un android para eso, puedes tener un teléfono de los básicos de la era Nokia que se cumplirá la normativa europea.

#35 tengo movil y 29 años

Es un banco aleman que tiene todo lo que cualquier banco normal tiene. Simplemente es un requisito activar todo con la app, y las contraseñas para autorizar las transacciones vienen tambien por esa via...

#28 Lamentablemente ni así alcanza, Desde el momento en que hay gente que da los datos de la cuenta bancaria por teléfono a un extraño que se hace pasar por empleado del banco, te darás cuenta que es prácticamente imposible crear un sistema que proteja a todos los usuarios.

Por eso, avancen lo que avancen la tecnología y los protocolos de seguridad, siempre va a haber gente que va a caer por más obvias que sean las estafas.

#5 #6 #7 El banco siempre es responsable. Si pagan un recibo que no es tuyo, o si se hacen con los datos de la tarjeta, y burlan las firmas únicas por operación, que es por donde pueden atacar este tipo de estafas.
Los sistemas actuales de firma única por operación mediante SMS o mediante sistemas encriptados a través de la propia aplicación del banco hacen casi imposible que te quiten la pasta sin que te enteres. No obstante aclaran en el artículo que es un pishing. Dicen que el enlace instala una aplicación que es la que crea el desaguisado, y a la que por supuesto habrá que dar todo tipo de permisos. En Android, si no lo tienes muy claro (e incluso si lo tienes), es básico tener activada la opción de no instalar aplicaciones de fuera de la tienda y por supuesto siempre negarse a que se instale una app que no has solicitado tú explicitamente. Si pese a todo se cuela, luego está el tema de darle a la app pirata todos los permisos que solicite ... en fin, que hay algo de sensacionalismo en la noticia.

Pasaos a IOS insensatos!

#12 #11 Yo no puedo cambiar el límite de transferencias desde el móvil. Tengo que ir a la oficina. Es Abanca.

#19 Lo último solo es posible si emites en tiempo real

#15 O gente que no entiende lo que significa, como mi madre.

"Un usuario de forocoches"..., jajajaja

#47 Claro, claro, con la gente mayor no cuenta la frase que he dicho.

#46 Y debes programar a 4 manos en el mismo teclado.

#36 y #37, a un familiar le han llegado 3 SMS por el estilo. Desde tres números móviles distintos.

He contactado con ellos por Whatsapp (desde un número de teléfono no personal por si las moscas...) con los 3 para avisar que los estafadores están usando su móvil.

Efectivamente uno me ha dicho que ya se dio cuenta y lo limpió esta mañana. Otro directamente no lo sabía. El tercero, tengo la duda de si lo ha limpiado bien o no, y le he dado un poco de lata con que busque información y ayuda de alguien de confianza.

#40 la confirmación por SMS es de lo más inseguro que hay.

#10 Hay algo que no entiendo. Para poder instalar algo que no viene de la Play Store, primero tengo que configurar mi teléfono para que permita "instalar aplicaciones de fuentes externas". Esto no es una pregunta que te hace el móvil, te tienes que ir a la configuración.

#13 - Joder, sólo cambiándole la pantalla, no puedo creer que sea el mismo móvil.
- Bueno, pero no empecemos a chuparnos las pollas todavía. Primera fase lista, ahora toca cambiarle a usted. Desnúdese.
- ¿Del todo?
- En pelota viva.

#32 también llegan mensajes de Seur

#34 de eso nada, precisamente la normativa PSD2 desde el 2019 prohíbe las tarjetas de coordenadas.

#16 a un banco medio grande le roban varios cientos de millones al año. No es ningún secreto.

#24 cuando te compras un iPhone ya te han estafado

#38 A ver, ejemplos hay para todo. Pero te aseguro que la inmensa mayoría de la gente que acepta los avisos sin mirar, si le salen tres seguidos y con letras gordas de peligro está instantáneamente llamando a su hijo (por decir algo) acojonado por si la ha liado.

#44 he aquí otro SMS que te quiere estafar

Quiero pensar que pillarán a esos hijos de puta; hay mucho donde se puede rastrear para dar con ellos, si es cierto que han estafado a tanta gente caerán pronto.

#61 Seguro, los van a ir a buscar a EAU, o a Afganistán, o a Rusia, o a Colombia... Fijo que sí.

Edito: Que conste que yo también querría que los pillaran.

#55 Si. A mí me han llegado también de correos, y de amazon.

#8 y es más segura, que la gente sea toleta no es su culpa

A ver, aquí la culpa la repartiría en un 98% el usuario, Google un 1% y quizá los bancos el otro 1%.

Primero, el usuario por instalar a conciencia una app de fuente desconocida y darle todos los permisos que le pide.

Segundo, como esto siga así Google tendrá que hacer Android más restrictivo en cuanto a los permisos, o al menos la forma de concederlos, no es muy seguro que digamos que la propia app pueda hacer que salte un diálogo para conceder el permiso de accesibilidad, lo menos que podrían hacer es obligar a que tengas que ir a los ajustes manualmente a activarlo, y ojo que creo recordar que a veces es así (la app como mucho te abre la ventana de los ajustes), supongo que dependerá la versión de Android o ROM.

Tercero, diría que son los que menos culpa tienen, pero aunque pueda joder de cara a la comodidad, que se deje de usar sólo los SMS como única verificación para permitir transferencias y demás operativas importantes.
Aquí estos ladrones, al igual que los que hacen SIM Swapping, seguramente se están aprovechando de eso porque capturan los SMS. Curiosamente los ladrones del "virus" este no tendrán nada que hacer con los que siguen pidiendo tarjeta de coordenadas, o con Caixabank que te hace ir a otra app en la que tienes que aceptar la transacción.

#56 Te devuelvo el negativo, no por compensar sino porque con intención o sin ella, desinformas. Desconozco tu motivación para defender esta práctica generalizada de los bancos, pero un poco sí que sé de lo que hablo. Infórmate de los temas antes de ir cascando negativos sin razón ninguna.

#64 como esto siga así Google tendrá que hacer Android más restrictivo en cuanto a los permisos

Ya, pero los bancos que mientras tanto fuerzan a sus clientes a usar el medio más inseguro que usamos a diario, el móvil, para las transacciones bancarias, tienen un 1% según tú de culpa y el usuario que se ve forzado a ello un 98%, ¿verdad? Se huelen intereses de algún tipo en tus comentarios...

#41 Ya, joer, quería decir "alguien que sea...", aunque sí que es verdad que mi comentario se pudiera entender así. Pero no, no; no te estaba envejeciendo ni quitándote el móvil

#65 yo también sé de lo que hablo, como que conozco a un ingeniero que trabaja en un gran banco y hoy mismo estuvo hablando del tema. Si tu sabes de lo que hablas sabrás lo que es la normativa PSD2 y que prohíbe las tarjetas de coordenadas, o te crees que los bancos últimamente las han estado quitando por amor al arte? No señor, porque están OBLIGADAS, alguna todavía escapa pero no será por mucho tiempo si quieren seguir ajustándose a normativa europea.

Y que casualidad, mi negativo fué también por desinformar al afirmar que la normativa la tenían cubierta con la tarjeta de coordenadas cuando eso a día de hoy no es así así que ala, te lo devuelvo también jaja

#56 Se me ha pasado hacerte la pregunta, que es a lo que iba: Si según tú las tarjetas de coordenadas están prohibidas desde el 2019, ¿Qué hacen algunos bancos usándolas en 2021? ¿O lo decías sólo por si colaba como excusa de que los bancos quieran meter a sus clientes la "app" por las orejas?

Edit: Te lo pongo como respuesta a #68 ya que me has contestado. Si haces el favor, me resuelves la duda (lo de que alguno "se escapa", me suena extraño si están prohibidas desde 2019, por no hablar de absolutamente NADIE LES OBLIGA A USAR UNA APP; LES OBLIGAN A USAR DOBLE VALIDACIÓN, LA CUAL PUEDE HACERSE COMO LES DÉ LA REAL GANA, NO CON UNA APP).

#66 el móvil no es el medio más inseguro, o te tengo que recordar la de problemas que dan las apps de bancos cuando violas la seguridad rooteando el móvil? Actualmente no hacen casi nada más que advertirte y (esto no lo saben muchos) dejar un flag activado en el banco para intentar desentenderse si te pasa algo, echarte la culpa de haber usado la app en un móvil rooteado, pero sé de buena tinta que se van a poner más duras con el tema, por ejemplo empezarán a comprobar la firma de la ROM, bootloader, etc. para ver si no se ha modificado el terminal. La inseguridad la crea el usuario, al igual que ha pasado en los PCs.

#69 a esos bancos simplemente les han dado más tiempo porque se excusan de que no han tenido suficiente para migrar a todos a otro sistema, pero no creo que puedan aguantar mucho más así.

Y yo no estoy justificando que los bancos quieran forzar a usar sus apps porque para empezar tampoco es así en la mayoría de casos, solamente me suena ING que estuvo prácticamente obligando a tenerla para operar.

#70 Recapitulando: Que sabes lo que sabes porque "conoces a uno que trabaja en un banco y justo hoy te ha dicho...", porque "sabes de buena tinta que...", y porque según tú que una app de un banco dé problemas cuando rooteas el móvil implica que es lo más seguro del mundo (tócate las narices).

Que la realidad sea que no pocos bancos en toda Europa siguen tranquilamente con sus tarjetas de coordenadas, aunque según tú lleven 2 años inclumpiendo la ley, no te hace sospechar que puedas estar soltando unas burradas como catedrales. Pues muy bien todo.

#71 a esos bancos simplemente les han dado más tiempo porque se excusan de que no han tenido suficiente para migrar a todos a otro sistema

Mentira. Infórmate.

respecto a las culpas, que antes me lié con lo de la seguridad del medio... sigo pensando lo mismo, tampoco se le puede atribuir toda la responsabilidad al banco, después de todo en este caso han habido factores ajenos a ellos como que el usuario se instale y conceda tantos permisos a una app descargada de una web, y que también Android no sea más restrictiva a la hora de pedir semejante permiso como es el de accesibilidad. Sin embargo visto lo visto con esto y con lo del clonado de SIMs sí que podrían mejorar la seguridad y no confiar sólo en los SMS.

Fíjate que esta tarde me enteré que respecto al SIM Swapping sí se ha estado haciendo algo, de momento en Orange cuando haces un duplicado de SIM automáticamente da aviso a los bancos y por ejemplo BBVA ya aplica contingencia, aquí explican como va:

blog.orange.es/producto/sim-swap/

infórmate tú, punto 1 de "pagos electrónicos": www.helpmycash.com/banco/psd2/  

#52 ¿Por qué? El banco te envía al instante un código por sms para completar la transacción, nada más.

#76 Porque el contenido del SMS se puede capturar si estás troyanizado.

#77 Aunque lo captures, no sirve para nada, porque no me llegaría a mí y no podría completar la transacción, así que me daría cuenta de que algo pasa con la confirmación con el SMS. Y al que captura el código que me enviaban en el sms, tampoco le sirve de nada, porque el banco envía un código para esa transacción específica que acabas de realizar. Ese código no sirve para otra transacción, que generará otro código.

Luego también, ¿Cómo se troyaniza un movil básico, de tipo Nokia clásico?

#42 www.youtube.com/watch?v=Z8owc_cdF9s

#53 Hay gente que lo tiene totalmente abierto porque ya ha instalado cualquier apk de esos que te dan cosas "gratis" y no lo vuelve a dejar seguro.

#78 ¿No te ha pasado nunca que te llega el sms dos minutos después y por impaciencia, vuelves a solicitar el reenvio? Hay mucha gente que no ve raro que un SMS le tarde o incluso no le llegue y lo vuelve a solicitar.

#62 #62 Ya los han detenido, en Barcelona (pero son Rusos casi 100%) twitter.com/mossos/status/1367797770522943489

#76 porque los sms no van cifrados y se pueden capturar de la red.
Porque los grupos de crimen organizado llevan años clonando tarjetas sim para robar cuentas bancarias.

#82 Pues me alegro un montón. Y de paso me la envaino, porque #61 tenía razón.

Chapó por los mossos.

Me surge una duda, a ver si alguien puede responder: si uno accede a las apps del banco únicamente con su huella digital, es decir, no usas el teclado para introducir login ni password, ¿estas aplicaciones falsas pueden igualmente acceder a tu cuenta y vaciarte la cuenta?

#43 Gracias por la explicación.