Se descubre un método de phishing diseñado específicamente para usuarios de Android e iOS

4 semanas ago Pigeon Merlin
Se descubre un método de phishing diseñado específicamente para usuarios de Android e iOS
¡Ataques de phishing dirigidos a usuarios de Android y iOS! | Foto: Getty Images

Los expertos de la empresa de ciberseguridad ESET analizado campañas de phishing que combinan técnicas tradicionales con el uso de la tecnologías especializadas de iOS y Androiderespectivamente, para instalar aplicaciones bancarias maliciosas sin el consentimiento del usuario.

  • Los expertos aún no han detectado que esta técnica de fraude se haya aplicado a Usuarios mexicanos.

¡Los ataques de phishing apuntan a usuarios de iOS y Android!

Una técnica de Suplantación de identidad (phishing)conocido como En la naturalezaInstalar un aplicación bancaria maliciosa de un sitio web de terceros sin que el usuario tenga nada que decir al respecto. Una acción de este tipo vulnera los derechos de los usuarios iOS.

En el caso de AndroideEsta misma técnica podría conducir a la instalación silenciosa de un tipo especial de APK que parece estar instalado desde el Tienda Google Play.

¿Cómo funciona la campaña dirigida a iOS y Android?

El sitios web de Suplantación de identidad (phishing) Dirigido a iOS Instruya a las víctimas para que agreguen una Aplicación web progresiva (PWA) a tus pantallas de inicio.

En el caso de Androide el PWA Se instala después de confirmar la ventanas emergentes personalizado en el navegador.

  • El PWA Son sitios web integrados en lo que parece ser un aplicación independienteun sentimiento que se refuerza con el uso de anuncios nativos del sistema. Al ser multiplataforma, estos campañas de Suplantación de identidad (phishing) Pueden dirigirse tanto a usuarios de iOS a partir de Androide.

En este punto, en ambos sistemas operativos, estos aplicaciones de Suplantación de identidad (phishing) Son prácticamente indistinguibles de los aplicaciones bancarias Los verdaderos que imitan.

READ  WhatsApp: ¿cómo enviar audios con la voz de Auronplay y sin instalar apps en tu celular? | WPP | Trucos | androide | iPhone | Falso usted | Tecnología

Esta técnica fue revelada por primera vez en Polonia en julio de 2023 y, en noviembre de 2023, se observó en República Checa por analistas de ESET que trabajó en el servicio de Brand Intelligence.

“También observamos dos casos de campañas móviles contra bancos fuera de checoa: un caso dirigido al banco húngaro Banco OTP y otro dirigido al banco georgiano Banco TBC“, dicen los expertos.

¡No caigas en la trampa! El informe detallado de estos ataques

Para atacar a los usuarios de iOS y Android en estos campañas de Suplantación de identidad (phishing)Se utilizan tres mecanismos para distribuir la sitios web de phishing:

  • Llamadas de voz automatizadasAdvierte al usuario sobre una aplicación bancaria obsoleta. Se le pide al usuario que seleccione un número en el teclado y, al presionarlo, se envía una URL de phishing por SMS.
  • Fueron enviados Mensajes SMS indiscriminadamente a números checos. Incluía un enlace de phishing y un texto de ingeniería social para engañar a las víctimas y hacer clic en el enlace.
  • Publicidad maliciosa en redes sociales Al igual que Instagram y Facebook, incluyeron un llamado a la acción, como una oferta limitada para descargar una actualización.

Fuente: ESET

Después de abrir el URLLas víctimas de Android se enfrentan a un Página de phishing que imita la página oficial de Google Play para la aplicación bancaria de destino o un sitio web que imita la aplicación.

Es posible que la campaña que utiliza imágenes de Google Play modificarse a sí mismo en función del agente de usuario recibido para imitar imágenes de Tienda AppleAunque no fue confirmado.

READ  envía tus datos a China
Así es el proceso de ataque de esta campaña de phishing | Foto: ESET

A continuación, se pide a las víctimas que creen una “rehacer» del aplicación bancariasegún el informe de ESET lanzado el martes 20 de agosto.

Al hacer clic en el botón de instalación/actualización se instala una aplicación maliciosa directamente en el teléfono de la víctima, ya sea en forma de WebAPK (solo para usuarios de Android), o como PWA para usuarios de iOS y Android.

¿Cómo se descargan las aplicaciones bancarias maliciosas? | Foto: ESET

Este paso crucial de instalación evita las advertencias tradicionales del navegador de “instalar aplicaciones desconocidas“.

Así termina la campaña de phishing en iOS y Android | Foto: ESET

Después de la instalación, se les pide a las víctimas que ingresen su credenciales bancarias Para acceder a su cuenta a través de la nueva aplicación banca móvilEstos datos serán robados y utilizados en detrimento de la víctima.

More Stories

Así usan los móviles Android para robar sin que te des cuenta

5 horas ago Pigeon Merlin

Las claves de acceso ahora se sincronizan entre Chrome, Android y Windows; aquí se explica cómo usarlas

11 horas ago Pigeon Merlin

Esta función de Google Maps en Android Auto podría acabar con Waze

17 horas ago Pigeon Merlin

La nueva función de Google Calendar te ayudará a no olvidar ningún cumpleaños

23 horas ago Pigeon Merlin

Este será el primer móvil con tecnología Qi2

1 día ago Pigeon Merlin

WhatsApp para Android pronto permitirá a los usuarios elegir el tema de chat predeterminado entre varios estilos de diseño

1 día ago Pigeon Merlin

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

You may have missed

modelo con más botones y diseñado para Apple Intelligence, pero aún sin IA

4 horas ago Paulino Castillo

Así usan los móviles Android para robar sin que te des cuenta

5 horas ago Pigeon Merlin

Cómo publicar un estado de WhatsApp desde la PC y no desde el celular

5 horas ago Marisol Manriquez

¿Deberías comprar una computadora portátil para juegos ahora o esperar?

5 horas ago Angélica Cambron

Activa ahora la nueva aplicación de Windows en tu iPhone, iPad y Mac para ver todo lo que tienes en tu ordenador

5 horas ago Inmaculada Nino