Recientes informes de la firma de seguridad ESET han revelado una nueva técnica de phishing que afecta tanto a usuarios de iOS como de Android. Esta amenaza, que utiliza aplicaciones web progresivas (PWA) y WebAPKs para disfrazarse de aplicaciones bancarias legítimas, ha logrado eludir las protecciones de seguridad convencionales, poniendo en peligro las credenciales de los usuarios.

«El ataque se centra en aplicaciones web que imitan a las oficiales, engañando a los usuarios para que las instalen sin ninguna advertencia de seguridad», explicó ESET en su nota técnica.

Cómo funciona el ataque.

  • PWAs en iOS y Android: Los atacantes han utilizado PWAs, que son esencialmente sitios web empaquetados para parecer aplicaciones independientes, para atacar a usuarios en ambas plataformas. Estas aplicaciones no requieren permisos especiales para su instalación, lo que las hace más difíciles de detectar.
  • WebAPKs en Android: En dispositivos Android, los atacantes han ido un paso más allá utilizando WebAPKs, que son versiones mejoradas de las PWAs. Estas aplicaciones aparentan ser legítimas y no generan alertas de seguridad incluso si se instalan desde fuentes externas a Google Play.
  • Tácticas de distribución: La distribución de estas aplicaciones fraudulentas se ha realizado a través de llamadas automáticas, publicidad maliciosa en redes sociales, y mensajes SMS que redirigen a los usuarios a páginas web de terceros.

Impacto del ataque

Según ESET, estos ataques comenzaron alrededor de noviembre de 2023, y los servidores de comando y control (C&C) se activaron en marzo de 2024. Aunque el enfoque principal de los ataques ha sido en usuarios de banca móvil en la República Checa, también se han identificado víctimas en Hungría y Georgia.

«Una vez que el usuario instala la aplicación maliciosa, se le solicita que ingrese sus credenciales bancarias, las cuales son enviadas directamente a los servidores controlados por los atacantes», advirtió ESET.

Posibles consecuencias y advertencias futuras

ESET advierte que esta táctica podría ser adoptada por más actores maliciosos debido a la dificultad de distinguir estas aplicaciones fraudulentas de las auténticas. La amenaza, por tanto, podría expandirse a otros países y afectar a un número aún mayor de usuarios.

Recomendación: Los usuarios deben ser extremadamente cautelosos al instalar aplicaciones bancarias y verificar siempre que provienen de fuentes oficiales.

La sofisticación de estas nuevas técnicas de phishing demuestra la creciente necesidad de una mayor educación y concienciación entre los usuarios de dispositivos móviles. Las organizaciones de ciberseguridad también deben reforzar sus estrategias para combatir estas amenazas emergentes y proteger la información sensible de los usuarios.

Fuente: https://www.securityweek.com/new-phishing-technique-bypasses-security-on-ios-and-android-to-steal-bank-credentials/