¡Cuidado! Nueva técnica de phishing dirigida a usuarios de banca móvil con sofisticadas aplicaciones web
Ha surgido una nueva y preocupante técnica de phishing que supone una grave amenaza para los usuarios de banca móvil tanto en plataformas iOS como Android. Según una advertencia reciente del proveedor de antimalware ESET, los cibercriminales están aprovechando las aplicaciones web progresivas (PWA) y los WebAPK para eludir las medidas de seguridad y robar credenciales bancarias confidenciales.
Tabla de contenido
Cómo funciona el ataque
Esta nueva campaña de phishing aprovecha la flexibilidad de las PWA, que son aplicaciones web diseñadas para parecerse y funcionar como aplicaciones nativas. Las PWA no requieren que los usuarios habiliten la instalación de aplicaciones de terceros, lo que las hace parecer menos sospechosas. Los cibercriminales están instruyendo a los usuarios de iOS para que agreguen estas PWA a sus pantallas de inicio, mientras que a los usuarios de Android se les pide que confirmen las ventanas emergentes personalizadas en sus navegadores, lo que lleva a la instalación de estas aplicaciones engañosas.
Para los usuarios de Android, la amenaza se intensifica con el uso de WebAPKs. Se trata, en esencia, de aplicaciones web mejoradas que imitan la apariencia y el comportamiento de aplicaciones legítimas, y que a menudo engañan a los usuarios haciéndoles creer que las han descargado de Google Play. La investigación de ESET destaca que estos WebAPKs no activan las advertencias de seguridad habituales, incluso si el usuario no ha permitido la instalación de aplicaciones de fuentes desconocidas. Una vez instaladas, estas aplicaciones maliciosas se integran perfectamente en el dispositivo del usuario, mostrando iconos e información que sugieren que son aplicaciones bancarias oficiales.
Métodos de distribución
La distribución de estas aplicaciones de phishing se organiza mediante una combinación de llamadas de voz automatizadas, publicidad maliciosa en redes sociales y mensajes SMS. Los usuarios son engañados para que hagan clic en enlaces que los dirigen a sitios web falsos que se parecen a las tiendas de aplicaciones oficiales o al sitio web del banco en cuestión. Luego se les solicita que instalen lo que parece ser una actualización para su aplicación de banca móvil.
Al instalarse, estas aplicaciones solicitan las credenciales de inicio de sesión del usuario con el pretexto de acceder a su cuenta bancaria. Sin que el usuario lo sepa, esta información confidencial se envía inmediatamente a los servidores de comando y control (C&C) de los atacantes.
El panorama de amenazas
La investigación de ESET indica que esta campaña de phishing probablemente comenzó en noviembre de 2023 y que los servidores C&C se activaron en marzo de 2024. Si bien el foco principal se ha centrado en los usuarios de banca móvil en la República Checa, los ataques también han tenido como objetivo a personas en Hungría y Georgia. ESET ha identificado a dos actores de amenazas independientes detrás de estos ataques, cada uno de los cuales utiliza técnicas similares para comprometer a los usuarios.
Además, existe una creciente preocupación de que estos atacantes amplíen su arsenal desarrollando más aplicaciones de imitación. La sofisticación de estas PWA y WebAPK las hace especialmente peligrosas, ya que pueden resultar casi indistinguibles de las aplicaciones bancarias legítimas.
Protéjase de la amenaza
Con el aumento de técnicas de phishing tan avanzadas, es más importante que nunca que los usuarios permanezcan alerta. A continuación, se indican algunos pasos que puede seguir para protegerse:
- Tenga cuidado con la instalación de aplicaciones : evite instalar aplicaciones que no provengan directamente de las tiendas de aplicaciones oficiales. Si se le solicita que instale una aplicación o una actualización a través de un enlace, verifique primero su legitimidad.
- Tenga cuidado con las solicitudes inusuales : desconfíe de cualquier aplicación que solicite información confidencial, como credenciales de inicio de sesión o detalles bancarios, especialmente si afirma ser una actualización.
- Manténgase informado : manténgase actualizado con las últimas noticias de seguridad y asegúrese de que el software de seguridad de su dispositivo esté actualizado para detectar y bloquear este tipo de amenazas.
Esta nueva técnica de phishing pone de relieve la evolución de las tácticas de los ciberdelincuentes y la necesidad de una mayor concienciación entre los usuarios. A medida que la línea entre aplicaciones legítimas y fraudulentas se va difuminando, mantenerse informado y ser cauteloso es la mejor defensa.