Alertas de Seguridad

ESET Research descubre un fraude financiero

Mediante un novedoso método de phishing

[21/08/2024] ESET Research descubrió un tipo poco común de campaña de phishing dirigida a usuarios móviles, y analizó un caso observado en la naturaleza dirigido a clientes de un importante banco checo. Según lo señalado por la empresa en el comunicado, esta técnica es notable porque instala una aplicación de phishing desde un sitio web de terceros sin que el usuario tenga que permitir la instalación de aplicaciones de terceros. En Android, esto podría dar lugar a la instalación silenciosa de un tipo especial de APK, que incluso parece instalado desde la tienda Google Play. La amenaza también iba dirigida a usuarios de iPhone (iOS).

"Los sitios web de phishing dirigidos a iOS indican a las víctimas que añadan una Aplicación Web Progresiva (PWA, por sus siglas en inglés) a sus pantallas de inicio; mientras que, en Android, la PWA se instala después de confirmar las ventanas emergentes personalizadas en el navegador. En este punto, en ambos sistemas operativos, estas aplicaciones de phishing son prácticamente indistinguibles de las aplicaciones bancarias reales que imitan. En esencia, las PWA son sitios web integrados en lo que parece una aplicación independiente, sensación que se ve reforzada por el uso de avisos nativos del sistema. Las PWA, al igual que los sitios web, son multiplataforma, lo que explica cómo estas campañas de phishing PWA pueden dirigirse tanto a usuarios de iOS como de Android. La novedosa técnica fue observada en Chequia por analistas de ESET que trabajan en el Servicio de Inteligencia de Marca de ESET, que proporciona monitorización de amenazas dirigidas a la marca de un cliente, comentó el investigador de ESET Jakub Osmani, que analizó la amenaza.

Los analistas de ESET descubrieron una serie de campañas de phishing dirigidas a usuarios de móviles que utilizaban tres mecanismos de entrega de URL diferentes. "Estos mecanismos incluyen llamadas de voz automatizadas, mensajes SMS y publicidad maliciosa en redes sociales. La entrega de llamadas de voz se realiza a través de una llamada automatizada que advierte al usuario sobre una aplicación bancaria desactualizada y le pide que seleccione una opción en el teclado numérico. Tras pulsar el botón correcto, se envía una URL de phishing por SMS. La entrega inicial por SMS se realizó enviando mensajes indiscriminadamente a números de teléfono checos. El mensaje enviado incluía un enlace de suplantación de identidad y un texto para inducir a las víctimas a visitar el enlace mediante ingeniería social. La campaña maliciosa se difundió a través de anuncios registrados en plataformas Meta como Instagram y Facebook. Estos anuncios incluían una llamada a la acción, como una oferta limitada para los usuarios que 'descargaran una actualización a continuación', anotó el ejecutivo.

Osmani agregó que, después de abrir la URL entregada en la primera etapa, a las víctimas de Android se les presentan dos campañas distintas, ya sea una página de phishing de alta calidad que imita la página oficial de la tienda Google Play para la aplicación bancaria objetivo, o un sitio web de imitación para esa aplicación. Desde aquí, se pide a las víctimas que instalen una 'nueva versión' de la aplicación bancaria.

"La campaña y el método de phishing sólo son posibles gracias a la tecnología de las aplicaciones web progresivas. En pocas palabras, las PWA son aplicaciones creadas con tecnologías de aplicaciones web tradicionales que pueden ejecutarse en múltiples plataformas y dispositivos. Los WebAPK podrían considerarse una versión mejorada de las aplicaciones web progresivas, ya que el navegador Chrome genera una aplicación nativa de Android a partir de una PWA: en otras palabras, un APK. Estos WebAPK tienen el mismo aspecto que las aplicaciones nativas normales. Además, la instalación de un WebAPK no produce ninguna de las advertencias de «instalación desde una fuente no fiable». La aplicación se instalará incluso si la instalación desde fuentes de terceros no está permitida, anotó Osmani.

El ejecutivo finalizó indicando que un grupo utilizó un bot de Telegram para registrar toda la información introducida en un chat de grupo de Telegram a través de la API oficial de Telegram, mientras que otro utilizó un servidor tradicional de Comando y Control (C&C) con un panel administrativo. "Basándonos en el hecho de que las campañas utilizaban dos infraestructuras de C&C distintas, hemos determinado que dos grupos distintos estaban operando las campañas de phishing PWA/WebAPK contra varios bancos, concluye Osmani. La mayoría de los casos conocidos han tenido lugar en Chequia, con sólo dos aplicaciones de phishing aparecidas fuera del país (concretamente en Hungría y Georgia).

Toda la información sensible encontrada por la investigación de ESET sobre este asunto fue enviada rápidamente a los bancos afectados para su procesamiento. ESET también colaboró en el desmantelamiento de varios dominios de phishing y servidores de C&C.

Llegamos a ustedes gracias a:


BrandPosts Qué es BrandPost

Más »
×
Los artículos publicados en esta sección -BrandPosts- son escritos y editados por los proveedores o miembros de la comunidad TI. BrandPosts crea una oportunidad para que un patrocinador proporcione información y comentarios desde su punto de vista, directamente a la audiencia de CTOPerú. El equipo editorial de CTOPerú no participa en la redacción o edición de estos BrandPosts.

Primer contacto

Más »

Recursos

Más »