Hallan nueva estafa de phishing adaptada a usuarios de Android y iOS: así atacan las cuentas bancarias de sus víctimas
Los expertos de la empresa de cibersegurdiad ESET analizaron campañas de phishing que combinan técnicas tradicionales con el uso de las tecnologías especializadas de iOS y Android, respectivamente, para instalar aplicaciones bancarias maliciosas sin el consentimiento del usuario.
- Los expertos no han detectado aún que esta técnica de defraudación se haya aplicado a usuarios mexicanos.
[TAMBIÉN LEE: Principales amenazas para celulares en Latinoamérica, cuidado con las apps de préstamos]
¡Ataques de phishing dirigidos a usuarios de iOS y Android!
Una técnica de phishing, conocida como in the wild, instala una app bancaria maliciosa desde un sitio web de terceros sin que el usuario tenga algo que decir al respecto. Una acción de este tipo vulnera a los usuarios de iOS.
En el caso de Android, esta misma técnica podría dar lugar a la instalación silenciosa de un tipo especial de APK que parece ser instalado desde la Google Play Store.
[TE RECOMENDAMOS: ¡Alerta de fraude! Envían mensaje falso a nombre de Meta y Facebook: así operan]
¿Cómo funciona la campaña dirigida a iOS y Android?
Los sitios web de phishing dirigidos a iOS indican a las víctimas que añadan una Aplicación Web Progresiva (PWA, por sus siglas en inglés) a sus pantallas de inicio.
En el caso de Android la PWA se instala después de confirmar las ventanas emergentes personalizadas en el navegador.
- Las PWA son sitios web integrados en lo que parece una aplicación independiente, sensación que se ve reforzada por el uso de avisos nativos del sistema. Al ser multiplataforma, estas campañas de phishing pueden dirigirse tanto a usuarios de iOS como de Android.
En este punto, en ambos sistemas operativos, estas aplicaciones de phishing son prácticamente indistinguibles de las aplicaciones bancarias reales que imitan.
Esta técnica fue revelada por primera vez en Polonia en julio de 2023 y, en noviembre de 2023, observada en República Checa por analistas de ESET que trabajaban en el servicio Brand Intelligence.
“También observamos dos casos de campañas móviles contra bancos fuera de Chequia: un caso dirigido al banco húngaro OTP Bank y otro dirigido al banco georgiano TBC Bank“, dicen los expertos.
¡No caigas! El informe detallado de estos ataques
Para atacar a los usuarios de iOS y Android en estas campañas de phishing, se usan tres mecanismos para repartir los sitios web de phishing:
- Llamadas de voz automatizadas, advirtiendo al usuario sobre una app bancaria desactualizada. Se pide al usuario que seleccione un número en el teclado y al pulsarlo se envía una URL de phishing por SMS.
- Se enviaron mensajes SMS indiscriminadamente a números checos. Este incluía un enlace de phishing y un texto de ingeniería social para que las víctimas visitaran el enlace.
- Publicidad maliciosa en redes sociales como Instagram y Facebook. Incluían una llamada a la acción como una oferta limitada para descargar una actualización.
Fuente: ESET
Después de abrir la URL, las víctimas de Android se encuentran con una página de phishing que imita la página oficial de Google Play para la app bancaria objetivo, o un sitio web de imitación de la aplicación.
Es posible que la campaña que utiliza imágenes de Google Play se modifique a sí misma en función del User-Agent recibido para imitar las imágenes de Apple Store, aunque no se confirmó.
Luego, se pide a las víctimas que instalen una “nueva versión” de la aplicación bancaria, según el reporte de ESET difundido el martes 20 de agosto.
Al hacer clic en el botón instalar/actualizar se instala una app maliciosa directamente en el teléfono de la víctima, ya sea en forma de WebAPK (solo para usuarios de Android), o como PWA para usuarios de iOS y Android.
Este paso crucial de la instalación elude las advertencias tradicionales de los navegadores de “instalar apps desconocidas“.
Tras la instalación, se pide a las víctimas que introduzcan sus credenciales bancarias para acceder a su cuenta a través de la nueva aplicación de banca móvil. Estos datos serán robados y usados en perjuicio de la víctima.