Los teléfonos móviles se han convertido en un elemento imprescindible para la mayoría de los españoles y es que, hoy en día, ya nadie puede pasar un día entero sin consultar su dispositivo. Android se ha convertido en el sistema operativo líder a nivel mundial y con él operan el 72% de los terminales. En el caso de España, 9 de cada 10 dispositivos tienen el sistema operativo de Google, lo que los ha convertido en un objetivo prioritario para los ciberdelincuentes.

Durante el presente año 2017 se ha apreciado una migración de los malwares bancarios hacia los terminales móviles Android. Los ciberdelincuentes saben que cada día, crece el número de personas que sustituyen su ordenador por su teléfono móvil o tablet. En los últimos meses, se han localizado distintos malwares con afectación a entidades bancarias españolas entre los que destacan Marcher, Maza-bot y Charger. Todos ellos tienen un funcionamiento similar: buscan una sobreposición sobre una aplicación legítima mostrando un phishing. A pesar de que las entidades bancarias envían mensajes de texto a los móviles de sus clientes con las OTP’s (contraseñas de un solo uso), estos malwares tienen implementadas diferentes soluciones que logran su objetivo: leer la clave OTP remotamente.

La tecnología avanza sin descanso en 2 sentidos: hacia la innovación para mejorar en el desarrollo de nuestra sociedad, y, por otro lado, hacia la sofisticación de la ciberdelincuencia, como consecuencia de la proliferación de dispositivos conectados a la red en los últimos años. Por este motivo, GoNetFPI, especializada en el análisis de fraude y provisión de inteligencia, ha convertido la innovación constante
en una obligación para estar a la vanguardia de la seguridad en lo que a temas de fraude se refiere.

En este panorama, de amenazas sofisticadas y en constante crecimiento, es donde toman especial relevancia los Android Forensics Analytics, análisis en profundidad de los dispositivos a través de los cuáles se puede saber si ha estado expuesto a un ataque o vulnerabilidad y que permite tomar las medidas oportunas para evitar incidentes futuros. Sólo durante el primer trimestre de este año se ha superado la cifra de 1,85 millones de nuevas amenazas, es decir, un nuevo malware cada 4,2 segundos, lo que supone un 72% más que en el primer trimestre de 2016* Siempre que un dispositivo tenga un comportamiento anómalo o exista la mínima sospecha de que ha podido ser infectado es muy importante realizar un análisis forense remoto que permitirá proteger al equipo frente:
 Incidentes de código malicioso
 Incidentes de acceso no autorizado
 Incidentes por uso inapropiado
 Filtración de documentos confidenciales
 Comportamientos anómalos de los sistemas
 Destrucción de datos
 Futuros ataques
 A ataques contra la propiedad intelectual  A ataques contra el derecho a la intimidad
 Sabotajes informáticos
 Fraude informático

Además, en caso de un procedimiento judicial ante el ataque, el informe realizado en el forense remoto puede ser utilizado como evidencia.

¿Cómo se hace un forense remoto? ¿Podré disponer de mi dispositivo?
1) Identificación del incidente y recopilación de evidencias por parte del usuario afectado.
2) Garantizar la cuarentena del equipo hasta que el forense complete el análisis. Es importante no utilizar el equipo, para conservar las huellas que ha podido dejar el incidente, analizarlo y extraer información que será de gran utilidad para prevenir futuros ataques.
3) Búsqueda y análisis de evidencias por parte del forense. Para esto se instala un software proporcionado siempre por el analista y que permite obtener todas las evidencias ocultas en el equipo. En el caso de Android, cuando la aplicación está instalada, el usuario debe abrirla manualmente y conectar el cargador al dispositivo, como se muestra en el ejemplo. En ese momento se realiza una conexión con el servidor forense sin que el usuario tenga que intervenir más. De hecho, es conveniente que el usuario no realice ninguna acción mientras se realiza el análisis forense que suele durar poco más de 3 horas. No obstante, el dispositivo se encuentra totalmente operativo mientras se realiza el mismo.
4) Dictamen del análisis y elaboración del informe forense.
5) Tras finalizar el proceso basta con desinstalar la aplicación del dispositivo.

¿Qué hacer para saber si tu terminal está infectado?
Dependiendo del tipo de malware que haya infectado nuestro terminal, éste actuará de una forma u otra. Si es de tipo bancario, normalmente nos suele solicitar los datos de nuestras tarjetas de crédito o de nuestras cuentas bancarias. Desconfía siempre que veas pantallas mal diseñadas en tu dispositivo o cuando notes una superposición de pantallas entre las aplicaciones de tipo bancario.