Los investigadores de ESET descubrieron un tipo poco común de campaña de phishing dirigida a usuarios de Android y iPhone. Analizaron un caso observado en la red que tenía como objetivo a clientes de un importante banco checo.
Esta técnica es notable porque instala una aplicación de phishing desde un sitio web de terceros sin que el usuario tenga que permitir la instalación de la aplicación de terceros. En Android , esto podría resultar en la instalación silenciosa de un tipo especial de APK, que incluso parece ser instalado desde la tienda Google Play. La amenaza también estaba dirigida a los usuarios de iOS.
Los sitios web de phishing dirigidos a iOS piden a las víctimas que agreguen una aplicación web progresiva (PWA) a sus pantallas de inicio, mientras que en Android, la PWA se instala después de confirmar las ventanas emergentes personalizadas en el navegador. En este punto, estas aplicaciones de phishing son prácticamente indistinguibles de las aplicaciones bancarias reales que imitan en ambos sistemas operativos.
Las PWA son básicamente sitios web integrados en una aplicación independiente, que se ve reforzada por el uso de mensajes del sistema nativos. Las PWA, al igual que los sitios web, son multiplataforma, lo que explica cómo estas campañas de phishing a través de PWA pueden dirigirse a usuarios de iOS y Android. La novedosa técnica fue observada en Chequia por analistas de ESET que trabajan en el Servicio de Inteligencia de Marca de ESET, que monitorea las amenazas dirigidas a la marca de un cliente.
«Para los usuarios de iPhone, una acción de este tipo podría romper cualquier suposición de ‘jardín amurallado’ sobre seguridad», dice el investigador de ESET Jakub Osmani , quien analizó la amenaza.
ESET detecta estafas de phishing mediante llamadas, SMS y publicidad maliciosa
Los analistas de ESET descubrieron una serie de campañas de phishing dirigidas a usuarios de dispositivos móviles que utilizaban tres mecanismos de envío de URL diferentes. Estos mecanismos incluyen llamadas de voz automatizadas, mensajes SMS y publicidad maliciosa en redes sociales. La entrega de llamadas de voz se realiza a través de una llamada automatizada que advierte al usuario sobre una aplicación bancaria desactualizada y le pide que seleccione una opción en el teclado numérico.
Tras pulsar el botón correcto, se envía una URL de phishing por SMS, como se informó en un tuit. La entrega inicial por SMS se realizó enviando mensajes indiscriminadamente a números de teléfono checos. El mensaje enviado incluía un enlace de phishing y un texto para incitar a las víctimas a visitar el enlace. La campaña maliciosa se difundió a través de anuncios registrados en plataformas Meta como Instagram y Facebook. Estos anuncios incluían una llamada a la acción, como una oferta limitada para los usuarios que «descargaran una actualización a continuación».
Después de abrir la URL entregada en la primera etapa, a las víctimas de Android se les presentan dos campañas distintas: una página de phishing de alta calidad que imita la página oficial de Google Play Store de la aplicación bancaria en cuestión o un sitio web que imita esa aplicación. A partir de aquí, se les pide a las víctimas que instalen una “nueva versión” de la aplicación bancaria.
Los WebAPK evitan las advertencias de seguridad
La campaña y el método de phishing son posibles únicamente gracias a la tecnología de las aplicaciones web progresivas. En resumen, las PWA son aplicaciones creadas con tecnologías de aplicaciones web tradicionales que pueden ejecutarse en múltiples plataformas y dispositivos.
Los WebAPK podrían considerarse una versión mejorada de las aplicaciones web progresivas, ya que el navegador Chrome genera una aplicación nativa de Android a partir de una PWA: en otras palabras, un APK. Estos WebAPK parecen aplicaciones nativas normales. Además, la instalación de un WebAPK no produce ninguna de las advertencias de «instalación desde una fuente no confiable». La aplicación se instalará incluso si no se permite la instalación desde fuentes de terceros.
Un grupo utilizó un bot de Telegram para registrar toda la información ingresada en un chat grupal de Telegram a través de la API oficial de Telegram, mientras que otro utilizó un servidor de Comando y Control (C&C) tradicional con un panel administrativo. “Basándonos en el hecho de que las campañas utilizaron dos infraestructuras de C&C distintas, hemos determinado que dos grupos separados estaban operando las campañas de phishing PWA/WebAPK contra varios bancos”, concluye Osmani. La mayoría de los casos conocidos han tenido lugar en Chequia, y solo dos aplicaciones de phishing aparecieron fuera del país (en concreto, en Hungría y Georgia).
Toda la información confidencial encontrada por la investigación de ESET sobre este asunto se envió de inmediato a los bancos afectados para su procesamiento. ESET también colaboró en la eliminación de varios dominios de phishing y servidores C&C.
Fuente y redacción: helpnetsecurity.com