Nueva alerta de método de phishing adaptada a usuarios de Android e iOS

Los ciberdelincuentes instalan aplicaciones bancarias maliciosas sin el consentimiento del usuario.

La empresa ESET advirtió que había identificado una campaña de Suplantación de identidad (phishing) Dirigido a usuarios de teléfonos móviles que tenía como blanco a clientes bancarios. seco Se consigue instalando una aplicación Suplantación de identidad (phishing) de un sitio web de terceros.

Según la empresa, la mayoría de los casos conocidos ocurrieron en la República Checa y las solicitudes se dirigieron al banco húngaro OTP Bank y al banco georgiano TBC Bank.

El equipo de investigación de ESET identificó una serie de campañas maliciosas Suplantación de identidad (phishing) Dirigido a usuarios móviles mediante tres mecanismos de entrega de URL diferentes:

• Llamadas de voz automatizadas.
• Mensajes SMS.
• Publicidad maliciosa en redes sociales.

La entrega de llamadas de voz Se realizó mediante una llamada automatizada que advertía a la persona sobre una aplicación bancaria obsoleta y le pedía que seleccionara una opción en el teclado numérico. Después de presionar el botón correcto, Se envió una URL de phishing por SMS.

El enfoque inicial de Mensaje de texto El ataque se llevó a cabo mediante el envío indiscriminado de mensajes a números de teléfono checos. El mensaje enviado incluía un enlace a Suplantación de identidad (phishing) y un texto para que las víctimas puedan realizar ingeniería social y visitar el enlace.

La propagación a través de anuncios maliciosos Se hizo mediante el registro de anuncios en plataformas Meta como Instagram y FacebookEstos anuncios incluían una llamada a la acción, como una oferta limitada para “descargar una actualización a continuación”. Esta técnica permitía a los actores de amenazas especificar la audiencia objetivo por edad, género, etc. Luego, los anuncios aparecían en las cuentas de redes sociales de las víctimas.

Después de abrir la URL entregada en la primera etapa, las víctimas de Android fueron recibidas con una página de phishing de alta calidad que imitaba la página oficial de la tienda Google Play para la aplicación bancaria en cuestión, o un sitio web imitador de la aplicación.

Leyenda: Flujo de phishing de PWA

Desde allí, se les pide a las víctimas que instalen una «nueva versión» de la aplicación bancaria. Según la campaña, al hacer clic en el botón de instalación/actualización se inicia la instalación de una aplicación maliciosa desde el sitio web, directamente en el teléfono de la víctima, ya sea en forma de WebAPK (solo para usuarios de Android) o como una aplicación web progresiva (PWA) para usuarios de iOS y Android. La clave de esta instancia es que evita las advertencias tradicionales del navegador sobre la «instalación de aplicaciones desconocidas», que es el comportamiento predeterminado de la tecnología WebAPK de Chrome, que los atacantes utilizan de forma abusiva.

El proceso es un poco diferente para los usuarios de iOS, ya que una ventana emergente animada les indica a las víctimas cómo agregar la PWA de phishing a su pantalla de inicio. La ventana emergente copia el aspecto de los mensajes nativos de iOS. Al final, A los usuarios de iOS no se les advierte sobre la posibilidad de agregar una aplicación potencialmente dañina a su teléfono.

Después de la instalación, se solicita a las víctimas que ingresen sus credenciales bancarias en línea para acceder a su cuenta a través de la nueva aplicación de banca móvil. Toda la información proporcionada se envía a los servidores C&C de los atacantes.

Los anuncios maliciosos incluían una combinación de la mascota oficial del banco (un camaleón azul), así como logotipos bancarios y textos que prometían una recompensa financiera por instalar la aplicación o advertir a los usuarios que se había lanzado una actualización crítica.

Toda la información de inicio de sesión robada se registraba a través de un servidor backend, que luego enviaba los datos de inicio de sesión bancarios ingresados ​​por el usuario a un chat grupal de Telegram. Las llamadas HTTP para enviar mensajes al chat grupal del actor de amenazas se realizaban a través de la API oficial de Telegram. Según ESET, esta técnica no es nueva y se utiliza en varios kits de phishing.

El responsable del Laboratorio de Investigación de ESET Latinoamérica, Camilo Gutiérrez Amayaexplicado:

Dado que se emplearon dos infraestructuras de C&C drásticamente diferentes, hemos determinado que dos grupos separados son responsables de la propagación de las aplicaciones de phishing. Es probable que se creen más aplicaciones de imitación, ya que es difícil distinguir las aplicaciones legítimas de las de phishing después de la instalación. Toda la información confidencial encontrada durante nuestra investigación se envió rápidamente a los bancos afectados para su procesamiento. También coordinamos la eliminación de múltiples dominios de phishing y servidores de C&C”.