En un reciente análisis, los expertos en ciberseguridad de ESET han identificado una sofisticada campaña de phishing que combina técnicas tradicionales con nuevas tecnologías para instalar aplicaciones bancarias maliciosas en dispositivos iOS y Android sin el consentimiento del usuario. Aunque aún no se ha reportado que esta técnica haya afectado a usuarios mexicanos, es crucial estar alerta.
¿Cómo Funciona el Ataque?
La técnica, conocida como in the wild, aprovecha vulnerabilidades en ambos sistemas operativos:
- Para iOS: Los sitios web de phishing invitan a las víctimas a añadir una Aplicación Web Progresiva (PWA) a sus pantallas de inicio. Estas PWAs se integran de manera casi idéntica a las aplicaciones reales, haciéndolas difícil de distinguir.
- Para Android: Se utiliza un tipo especial de APK que parece provenir de la Google Play Store, lo que engaña a los usuarios para que instalen la app maliciosa sin sospechas.
Métodos de Distribución
Los atacantes emplean tres métodos para difundir los sitios web de phishing:
- Llamadas Automatizadas: Se advierte a los usuarios sobre una app bancaria desactualizada y se les solicita que presionen un número en el teclado. Esto envía una URL de phishing por SMS.
- Mensajes SMS Masivos: Se envían enlaces de phishing a números aleatorios, acompañados de mensajes diseñados para engañar a las víctimas.
- Publicidad Maliciosa en Redes Sociales: Anuncios en Instagram y Facebook que promocionan ofertas limitadas para descargar una actualización falsa.
El Proceso de Instalación
Una vez que las víctimas abren la URL proporcionada, se enfrentan a una página de phishing que imita la apariencia de la Google Play Store o de la Apple Store. Al intentar instalar o actualizar la aplicación bancaria, el proceso elude las advertencias de los navegadores sobre la instalación de apps desconocidas. La app maliciosa se instala en el dispositivo, ya sea como WebAPK en Android o como PWA en ambos sistemas operativos.
Riesgos y Consecuencias
Después de la instalación, se solicita a las víctimas que ingresen sus credenciales bancarias en la nueva app. Estos datos son robados y utilizados para defraudar a las personas afectadas.
Protege Tu Información
Para evitar caer en estos fraudes, mantente atento a cualquier solicitud sospechosa de instalación de aplicaciones, verifica siempre la autenticidad de las fuentes y actualiza tu software de seguridad. La ciberseguridad es responsabilidad de todos, y estar informado es el primer paso para protegerte.
Para más detalles sobre esta amenaza emergente, consulta el informe completo de ESET difundido el 20 de agosto.
