Eset explicó que la instalación de aplicaciones maliciosas se hace desde un sitio web de terceros y sin el consentimiento del usuario, que ni siquiera se percataría de ello.
(Lea también: Lanzan nueva tecnología antirrobo para celulares Android y dicen cómo funciona)
El problema, que se detectó en países y bancos de Europa oriental, afecta por igual tanto a usuarios de iOS como de Android, pero sirvió para levantar una alerta en varias partes del mundo. Esto debido a que la forma en que se accede a los sitios que instalan tales aplicaciones ya existe en países como Colombia para otras estafas.
Son tres los canales por los que envían direcciones URL a las personas para que caigan y accedan a los sitios donde los equipos se infectan con las aplicaciones maliciosas: llamadas de voz automatizadas, mensajes SMS y publicidad maliciosa en redes sociales.
- Por llamadas de voz: una llamada automatizada convence al usuario de que proviene de una institución legítima y pide que presione la tecla de un número para que reciba un mensaje de texto (SMS).
- Al llegar el SMS, que también puede recibirse sin necesidad de la llamada, hay un enlace de ‘phishing’ y un texto para que las víctimas ingresen, convencidas de que se trata de otra cosa.
- También se detectaron anuncios en plataformas de Meta como Instagram y Facebook, en los que se habla de ofertas llamativas para quienes “descargaran una actualización a continuación”, momento en el que se instala.
Cómo funciona la nueva técnica de ‘phishing’ en Android
Después de abrir la URL entregada a las víctimas de Android se les mostraba una página de ‘phishing’ de alta calidad que imitaba la página oficial de la tienda Google Play para la aplicación bancaria objetivo, o un sitio web de imitación de la aplicación. Es ahí que se pide que las víctimas instalen una “nueva versión” de la aplicación bancaria y al hacer clic en el botón instalar/actualizar se inicia la instalación de una aplicación maliciosa desde el sitio web, directamente en el teléfono de la víctima.
Eset destaca que la instalación elude las advertencias tradicionales de los navegadores de “instalar apps desconocidas”
‘Phishing’ con aplicación maliciosa en iOS (Apple)
“El proceso es un poco diferente para los usuarios de iOS, ya que una ventana emergente animada indica a las víctimas cómo añadir la PWA de ‘phishing’ a su pantalla de inicio”, explica Eset. “La ventana emergente copia el aspecto de los mensajes nativos de iOS”.
Lo más peligroso para quienes cuentan con dispositivos Apple es que “al final, no se advierte a los usuarios de iOS sobre la adición de una aplicación potencialmente dañina a su teléfono”, según los especialistas en ciberseguridad.
De ahí en adelante, los incautos introducen sus credenciales bancarias por Internet para acceder a su cuenta a través de la falsa aplicación de banca móvil y toda la información facilitada se envía a los servidores de C&C de los atacantes, prosiguen.
(Vea después: Billeteras virtuales están expuestas a ciberataques: cómo evitarlo y recomendaciones)
Llama la atención la fidelidad de las copias de los sitios oficiales, con logotipos y detalles, lo que termina por confundir al usuario e incluso lo deja sin la más mínima sospecha de lo que ha ocurrido.
“Toda la información de acceso robada se registraba a través de un servidor backend, que luego enviaba los datos de acceso bancario introducidos por el usuario a un chat de grupo de Telegram. Las llamadas HTTP para enviar mensajes al chat de grupo del actor de la amenaza se realizaron a través de la API oficial de Telegram. Según mencionan desde Eset, esta técnica no es nueva y se utiliza en varios kits de ‘phishing'”, concluye la compañía.