Anuncio cerrado

Los analistas de seguridad de ESET han descubierto y descrito una nueva forma de campañas de phishing utilizadas para el fraude bancario. Esta vez las técnicas de phishing estándar para entregar código malicioso se combinaron con un nuevo método: los atacantes atacaron a los usuarios de las plataformas Android e iOS a través de aplicaciones PWA y, en el caso de la plataforma Android, a través de WebAPK. Las instalaciones no contenían avisos de que se estuvieran instalando aplicaciones de terceros en los casos detectados. La mayoría de las aplicaciones observadas estaban dirigidas a clientes de bancos checos, sin embargo, los expertos de ESET también observaron aplicaciones dirigidas a bancos de Hungría y Georgia. Con base en los datos analizados, concluyeron que dos grupos diferentes de atacantes estaban detrás de las campañas. ESET informó a los bancos víctimas sobre estas amenazas y también ayudó a eliminar varios dominios de phishing y controlar servidores.

Los expertos en seguridad de ESET descubrieron un tipo inusual de campaña de phishing, que estaba dirigida principalmente a clientes de bancos checos. La técnica de phishing recientemente descubierta se diferencia de otras en que los atacantes pueden engañar a las víctimas para que instalen aplicaciones de phishing desde un sitio web de terceros sin que la víctima sepa que se trata de una aplicación de una fuente no oficial. En la plataforma Android, esto puede incluso conducir a la instalación silenciosa de un tipo especial de APK (paquete de aplicaciones de Android) que parece haber sido instalado desde la tienda oficial Google Play.

La amenaza recientemente descrita también se dirigió a los usuarios de teléfonos inteligentes iPhone con sistema operativo iOS. Los sitios web de phishing dirigidos a la plataforma iOS indicaban a las víctimas que agregaran una aplicación web progresiva (PWA) a sus pantallas de inicio.

"Para ambas plataformas, Android e iOS, las aplicaciones de phishing eran en gran medida indistinguibles de las aplicaciones bancarias reales que imitan. Las aplicaciones PWA eran básicamente sitios web envueltos en una aplicación aparentemente separada, mientras que la apariencia de su autenticidad también estaba respaldada por el uso de los llamados avisos nativos del sistema: notificaciones telefónicas. Las aplicaciones PWA, al igual que los sitios web, están disponibles para diferentes sistemas operativos, lo que explica cómo estas campañas de phishing pueden dirigirse tanto a usuarios de iOS como de Android. Para los usuarios de teléfonos inteligentes iPhone, una campaña de este tipo puede derribar suposiciones arraigadas sobre la seguridad del "ecosistema cerrado" de la plataforma iOS.", afirma Jakub Osmani, analista de seguridad de la rama de investigación de ESET en Praga, que analizó el nuevo método de phishing.

Una llamada telefónica, un SMS y un anuncio en las redes sociales invitaban a descargar

Las campañas de phishing descubiertas utilizaron tres métodos diferentes para entregar direcciones web maliciosas a las víctimas. Entre estos mecanismos se encontraban las llamadas de voz automatizadas, los mensajes de texto y el malvertising (publicidad maliciosa) en redes sociales. La llamada de voz se llevó a cabo mediante una llamada automatizada en la que los atacantes "advirtieron" a los usuarios sobre una aplicación bancaria obsoleta, instándoles a actualizarla inmediatamente. Luego se pidió a los usuarios que seleccionaran el siguiente paso en el teclado numérico. Después de presionar el botón correcto, se les envió una URL de phishing por SMS.

"Según nuestros hallazgos, la distribución de direcciones URL falsas se realizó a números de teléfono checos aleatorios. El mensaje contenía un enlace de phishing y un texto que los atacantes utilizaron para engañar a la víctima para que hiciera clic en el enlace. La campaña maliciosa también se difundió a través de anuncios registrados en las redes sociales de Meta como Instagram y Facebook. Estos anuncios pedían alguna acción, como descargar una actualización en forma de oferta limitada para los usuarios,Osmani explica.

En el caso de la plataforma Android, después de hacer clic en la URL maliciosa, aparecieron otras dos variantes diferentes de este ataque de phishing: o una página de phishing de alta calidad que imitaba la página oficial de Google Play Store con una aplicación bancaria descargable, o una Sitio web de imitación mostrando nuevamente la opción de descargar la aplicación bancaria. En el siguiente paso, se invitó a las víctimas a instalar la "nueva versión" de la aplicación bancaria.

Los usuarios no fueron advertidos sobre la aplicación de phishing durante la instalación.

La campaña de phishing descrita y sus métodos sólo son posibles gracias a la tecnología de aplicaciones web progresivas: PWA. Las PWA se crean utilizando tecnologías de aplicaciones web tradicionales que pueden funcionar en múltiples plataformas y dispositivos. Las aplicaciones WebAPK pueden considerarse versiones superiores de aplicaciones web progresivas. Chrome genera un APK nativo para Android desde una PWA. Las aplicaciones WebAPK parecen entonces aplicaciones nativas normales, es decir, aplicaciones destinadas a un solo sistema operativo; en este caso, parecen aplicaciones nativas para la plataforma Android. Además, la instalación de la aplicación WebAPK en esta campaña de phishing no activa ninguna advertencia de "instalar aplicación desde una fuente no confiable". Dicha aplicación se instalará incluso si no se permite la instalación de aplicaciones de terceros.

Según analistas de ESET, dos grupos diferentes de atacantes estaban detrás de las campañas. Un grupo utilizó un bot en la plataforma social Telegram para registrar toda la información ingresada por las víctimas en un chat grupal a través de la API oficial de Telegram. El segundo grupo utilizó un servidor de control C&C tradicional con un panel administrativo.

"Teniendo en cuenta que los atacantes utilizaron dos infraestructuras de control diferentes dentro de las campañas detectadas, es probable que dos grupos distintos de atacantes estuvieran detrás de las campañas de phishing contra los bancos checos.concluye Osmani de ESET.

La mayoría de los casos analizados tuvieron lugar en la República Checa, sólo dos aplicaciones de phishing aparecieron fuera de la región checa, concretamente en Hungría y Georgia. Toda la información sensible que los analistas de ESET capturaron en estos casos fue enviada inmediatamente a los bancos afectados para su posterior procesamiento. ESET también ayudó con la eliminación de varios dominios de phishing y servidores de control.

Lo más leído de hoy

.