La seguridad digital es una carrera continua entre las medidas de protección y las tácticas de los atacantes. ESET ha revelado una técnica de phishing que fusiona los métodos tradicionales con innovaciones tecnológicas diseñadas para iOS y Android. Esta estrategia permite la instalación de aplicaciones bancarias maliciosas directamente en dispositivos de los usuarios, sin requerir su permiso explícito para instalar apps de terceros.
Esta campaña de phishing, que ha afectado principalmente a usuarios en la República Checa, utiliza aplicaciones dirigidas a clientes de bancos como el OTP Bank de Hungría y el TBC Bank de Georgia. Los investigadores de ESET han identificado tres vías principales de entrega de enlaces de phishing: llamadas de voz automatizadas, mensajes de texto SMS y publicidad maliciosa en redes sociales.
- Llamadas de voz automatizadas: Una llamada automatizada informa sobre una supuesta desactualización de la aplicación bancaria del usuario y solicita que se presione una opción en el teclado numérico para recibir un enlace de actualización vía SMS.
- SMS indiscriminado: Mensajes enviados a números checos contienen enlaces de phishing y textos diseñados para engañar a las víctimas y hacer que visiten dichos enlaces.
- Publicidad maliciosa en redes sociales: Anuncios colocados en plataformas como Instagram y Facebook incitan a los usuarios a descargar una actualización de la aplicación, permitiendo a los atacantes especificar su público objetivo por edad y género.
Tras acceder al enlace de phishing, los usuarios de Android se encuentran con páginas que imitan la apariencia de la tienda Google Play o sitios web de las aplicaciones bancarias. A los usuarios de iOS, se les muestra una ventana emergente que les indica cómo añadir la Aplicación Web Progresiva (PWA) de phishing en su pantalla de inicio, simulando alertas nativas de iOS.
Una vez instalada la aplicación maliciosa, se solicita a los usuarios que introduzcan sus credenciales bancarias, las cuales son enviadas directamente a los servidores de comando y control (C&C) de los atacantes. Esta información se comparte a través de chats de grupo en Telegram mediante llamadas HTTP, utilizando la API oficial de Telegram.
Esta avanzada técnica de phishing subraya la necesidad de vigilancia continua por parte de los usuarios de dispositivos móviles y la implementación de estrategias de seguridad más robustas por parte de los desarrolladores de aplicaciones y sistemas operativos. ESET ha enviado la información relevante a los bancos afectados y ha coordinado el desmantelamiento de varios dominios y servidores de phishing implicados en estas campañas.
¿Crees que las medidas de seguridad actuales en dispositivos móviles son suficientes para contrarrestar este tipo de ataques avanzados?
