No actualices tu app bancaria: esta nueva estafa de phishing roba todo tu dinero

Un nuevo estudio ha desvelado que clientes de un importante banco checo han sido víctimas de un nuevo método de ...

Un nuevo estudio ha desvelado que clientes de un importante banco checo han sido víctimas de un nuevo método de ataques de phishing poco común a traves de los dispositivos móviles. Desde la compañía de ciberseguridad de ESET aseguran que los ataques se centraron principalmente entre los usuarios de iPhone y Android, y la técnica consiste en que instalan una app de phishing desde un sitio web de terceros sin que el usuario tenga que autorizarlo.

Los estafadores están utilizando una técnica novedosa para engañar a los usuarios de iOS y Android y que instalen aplicaciones maliciosas que eludan las medidas de seguridad creadas por Apple y Google ante las aplicaciones no autorizadas. iOS prohíbe la instalación de todas las apps que no estén disponibles en su App Store. Android, por su parte, está configurado de forma predeterminada para permitir solo las aplicaciones disponibles en Google Play.

El nuevo método de phishing que descargas apps sin que lo sepamos

Según informan desde ESET, las PWA (Aplicación Web Progresiva) consisten en unos sitios webs diseñados para comportarse como una aplicación independiente, con una imagen aparentemente verificada mediante el uso de avisos nativos del sistema. Las webs de phishing dirigidas a usuarios de iOS instruyen a las víctimas para que añadan una PWA a sus pantallas de inicio, mientras que en Android, la PWA se instala tras confirmar ventanas emergentes personalizadas en el navegador.

En ambos sistemas operativos, estas aplicaciones de phishing son prácticamente indistinguibles de las verdaderas apps bancarias a las que imitan y se comportaron como una aplicación móvil normal, pero al eludir la autorización de la instalación de terceros en Android, esto llevó a la instalación silenciosa de Android Package Kit (APK), que parecía al usuario ser instalado a través de Google Play Store.

Los investigadores han descubierto una serie de campañas de phishing dirigidas a los usuarios de los dispositivos móviles en las que utilizaban tres mecanismos diferentes para distribuir las URL maliciosas: llamada de voz, entrega de SMS y publicidad maliciosa, y estuvo dirigida a clientes de la República Checa, Hungría y Georgia.

Como trabaja cada mecanismo en la estafa

Dependiendo de la campaña, el botón de instalación o actualización lanzaba la descarga de una app maliciosa directamente en el teléfono del usuario, ya sea en forma de WebAPK (para dispositivos Android) o de PWA. Esto evitaba las advertencias habituales del navegador sobre instalar aplicaciones desconocidas, tal y como hemos mencionado antes.

En el caso de la llamada de voz, se advertía al víctima de que existían una supuesta aplicación bancaria desactualizada y le indicaba al usuario que seleccionase una de las opciones. Al hacerlo se le enviaba por mensaje de texto un enlace de phishing. El envío de SMS enviaba mensajes con enlaces de phishing a números checos de forma indiscriminada.

El mensaje incluía un enlace fraudulento y un texto diseñado para manipular a las víctimas y hacerlas pinchar en el enlace. En cuanto a la campaña publicitaria, se difundió mediante anuncios registrados en plataformas de Meta como Instagram y Facebook. Estos anuncios incluían una llamada a la acción, como una oferta limitada para usuarios que ‘descarguen una actualización a continuación’.

Según Jakub Osmani, investigador de ESET, "Basándonos en el hecho de que las campañas usaban dos infraestructuras de C&C diferentes, hemos determinado que dos grupos distintos estaban detrás de las campañas de phishing con PWA/WebAPK dirigidas a bancos checos y otros”. La mayoría de casos se han detectado en Chequia con solo dos apps de phishing fuera del país (Hungría y Georgia).