Los dispositivos móviles con conectividad a Internet están en manos de millones de personas en todo el mundo. Por lo tanto, son un objetivo tentador para ataques de terceros malintencionados. Tanto los desarrolladores de sistemas operativos como los fabricantes de dispositivos están trabajando juntos para hacer que el ecosistema móvil sea cada vez más seguro, pero los atacantes potenciales están trabajando al mismo ritmo. Ahora, un método de phishing recientemente descubierto podría causar enormes pérdidas financieras a Androide y usuarios de iOS por igual.
Los atacantes prueban métodos alternativos ante el aumento de las medidas de seguridad
Phishing exitoso basado en descargas maliciosas aplicaciones se ha vuelto cada vez más difícil. En iOS, Manzana ejerce un estricto control sobre la Tienda de aplicacionesa pesar de algunos casos particulares puede pasar desapercibido. En Android, que permite una fácil instalación de aplicaciones desde fuera de Play Store, los navegadores integran múltiples advertencias y protecciones incluso antes de descargar el archivo. Además, el Play Store cuenta con monitoreo constante contra aplicaciones maliciosas.
Sin embargo, parece que los atacantes se han dado cuenta de esto y están probando un nuevo enfoque. Como lo descubrió Investigación ESETun nuevo método de phishing aprovecha las aplicaciones web progresivas (PWA). Si no lo sabes, una PWA es una aplicación web con acceso a funciones nativas de la aplicación. Por ejemplo, puede utilizar avisos o notificaciones nativas del sistema. Esto, sumado a que su instalación es mucho más permisiva, lo convierte en un método de ataque atractivo.
Un nuevo método de phishing explota las aplicaciones web progresivas en Android e iOS
Si alguna vez agregó una aplicación web desde un sitio web a la pantalla de inicio de su teléfono, sabrá que no existen controles de seguridad previos. Algo similar (aunque un poco más complejo) sucede al instalar una PWA. Como son básicamente aplicaciones web, no pasan por los controles de seguridad diseñados para las aplicaciones tradicionales. En Android, ni siquiera es necesario habilitar el permiso para permitir la instalación de aplicaciones desde su navegador. Además, como se ejecuta en un marco de navegador (como WebView en Android o WebKit en iOS), es eficaz en cualquier sistema operativo móvil.
Una PWA puede ser indistinguible de una aplicación nativa o de una página de App Store/Play Store. Ahora, según los hallazgos de ESET Research, una campaña de phishing basada en PWA se ha dirigido a bancos y clientes en Chequia. También se han detectado algunos casos en Hungría y Georgia.
El investigador de ESET, Jakub Osmani, proporcionó detalles más específicos sobre la campaña de phishing. El informe indica que los atacantes buscan que los usuarios instalen una PWA que simule la aplicación de su banco. Si tienen éxito y los usuarios ingresan sus credenciales, los atacantes podrían obtener acceso a sus cuentas. Si bien los bancos suelen ofrecer más barreras de seguridad, lo más difícil para los atacantes suele ser obtener las credenciales de inicio de sesión de sus víctimas. Sin embargo, este método facilitaría mucho la tarea.
Campaña de phishing impulsada por tres mecanismos principales
La investigación reveló que la campaña de phishing implica tres mecanismos principales. Hay llamadas de voz automatizadas, mensajes SMS y publicidad maliciosa en las redes sociales. Las llamadas de voz intentan engañar a los usuarios para que utilicen una «aplicación bancaria obsoleta». Después de presionar el botón requerido en el marcador, el usuario recibirá una URL de phishing por SMS. La URL los dirigirá a un sitio que intentará convencerlos de que instalen la PWA en la pantalla de inicio de su dispositivo. La PWA se disfrazará de la aplicación nativa del banco del cliente.
Por otro lado, la publicidad maliciosa en las redes sociales evita los dos mecanismos anteriores al incluir enlaces directos a sitios maliciosos que buscan engañar al usuario. Los anuncios fraudulentos fueron detectados en plataformas sociales Meta, como Facebook e Instagram. Entonces, probablemente tuvieron un alcance notable.
El equipo de investigación de ESET envió los resultados de su investigación a los bancos objetivo. Ahora les toca a ellos advertir a sus clientes y actuar en consecuencia. El equipo también colaboró en la eliminación de «múltiples dominios de phishing y servidores C&C». Si quieres evitar el riesgo de sufrir pérdidas económicas debido a los nuevos métodos de phishing, recuerda siempre comprobar que estás utilizando la aplicación nativa de tu banco y evita abrir enlaces que te inviten a descargar aplicaciones o actualizaciones, tanto en Android como en iOS.
Fuente: Android authority