Hace dos años hablamos sobre este malware y su característica más destacable. Sin embargo, expertos en seguridad han detectado la presencia de una nueva variante de este troyano, considerándola como una versión muy mejorada. Tinba no solo mantiene su tamaño reducido sino que también incorpora nuevas funciones y sistemas de protección frente a herramientas de seguridad.
Sin embargo, este mismo año ya os habíamos hablado de que se había liberado el código fuente de este troyano que también es conocido como Tinybanker o Zusy. Este aspecto ha fomentado el intento de desarrollo de una gran cantidad de versiones de este incorporando nuevos mejoras. Casi dos meses más tarde ya tenemos la primera variante de este troyano bancario.
Tal y como es de suponer mantiene su característica principal: su tamaño reducido. Y es que Tinba poseía las funciones de otros troyanos bancarios con un tamaño mayor. Además de este aspecto y de las funciones que ya poseía (hay que recordar que el malware inyectaba código en los procesos de legítimo de Windows para evitar ser detectado por las herramientas de seguridad) hay que tener en cuenta que se han añadido otras nuevas.
Modificar páginas web de forma dinámica y recibir instrucciones de servidores remotos son algunas de las nuevas funciones de Tinba
Hay que tener en cuenta que el troyano ya era capaz antes de la aparición de esta variante de robar los datos relacionados con tarjetas de crédito y credenciales de acceso a servicios de banca en línea. La forma de robar esto era gracias a la utilización de procesos en el sistema que eran capaces de capturar la actividad del usuario en el navegador. Sin embargo, la nueva variante da un giro de rosca en este aspecto y ahora lo que se hace es suplantar las páginas a las que el usuario accede. Es decir, el malware es capaz de detectar a qué página se está accediendo y redirige la navegación del usuario a otras páginas propiedad de los ciberdelincuentes. La apariencia de estas es muy similar (en muchos casos idéntica) por lo que el usuario procede a introducir los datos de acceso o de pago y estos son almacenados en un servidor remoto.
Además, el troyano bancario posee una nueva función que es capaz, permitiendo a este buscar entre un listado de servidores preasignados cuáles están disponibles para obtener comandos. Tal y como se ha detallado, el interés de esta función no es otra que la de hacer llegar más malware al equipo que ya se encuentra infectado.
Nuevas variantes
Los expertos en seguridad opinan que esta no será la última variante que se lanzará, y que debido a la liberación del código es probable que durante los próximos meses verán la luz más, cumpliendo con las características básicas del malware original pero con el añadido de estas mejoras que se están implementando.
Fuente | Softpedia