Una nueva técnica permite que las aplicaciones maliciosas escapen a las barreras de seguridad de iOS y Android – guía en línea

Imágenes Getty

Los estafadores están utilizando una técnica novedosa para engañar a los usuarios de iOS y Android para que instalen aplicaciones maliciosas que eluden las medidas de seguridad creadas por Apple y Google para evitar aplicaciones no autorizadas.

Ambos sistemas operativos móviles emplean mecanismos diseñados para ayudar a los usuarios a evitar aplicaciones que roban su información personal, contraseñas u otros datos confidenciales. iOS prohíbe la instalación de todas las aplicaciones que no estén disponibles en su App Store, una estrategia conocida como Walled Garden. Android, por su parte, está configurado de forma predeterminada para permitir solo las aplicaciones disponibles en Google Play. La carga lateral (o la instalación de aplicaciones de otros mercados) debe permitirse manualmente, algo contra lo que Google advierte.

Cuando las aplicaciones nativas no son

Las campañas de phishing que han circulado durante los últimos nueve meses están utilizando métodos nunca vistos hasta ahora para sortear estas protecciones. El objetivo es engañar a las víctimas para que instalen una aplicación maliciosa que se hace pasar por una oficial del banco de la víctima. Una vez instalada, la aplicación maliciosa roba las credenciales de la cuenta y las envía al atacante en tiempo real a través de Telegram.

“Esta técnica es notable porque instala una aplicación de phishing desde un sitio web de terceros sin que el usuario tenga que permitir la instalación de la aplicación de terceros”, dijo Jakub Osmani, analista de la empresa de seguridad ESET. escribió el martes“Para los usuarios de iOS, esta acción podría romper cualquier suposición de que la seguridad es un ‘jardín amurallado’. En Android, esto podría resultar en la instalación silenciosa de un tipo especial de APK, que al examinarlo más de cerca, incluso parece haber sido instalado desde la tienda Google Play”.

El nuevo método consiste en incitar a los objetivos a instalar un tipo especial de aplicación conocida como Aplicación web progresivaEstas aplicaciones dependen únicamente de estándares web para ofrecer funcionalidades que tengan la apariencia y el comportamiento de una aplicación nativa, sin las restricciones que conllevan. La dependencia de los estándares web significa que las PWA, como se las abrevia, en teoría funcionarán en cualquier plataforma que ejecute un navegador compatible con los estándares, lo que las hace funcionar igualmente bien en iOS y Android. Una vez instaladas, los usuarios pueden agregar PWA a su pantalla de inicio, lo que les da una sorprendente similitud con las aplicaciones nativas.

Si bien las PWA pueden aplicarse tanto a iOS como a Android, la publicación de Osmani usa PWA para aplicarse a aplicaciones de iOS y WebAPK para aplicaciones de Android.

PWA de phishing instalada (izquierda) y aplicación bancaria real (derecha).
Agrandar / PWA de phishing instalada (izquierda) y aplicación bancaria real (derecha).

ESET

Comparación entre un WebAPK de phishing instalado (izquierda) y una aplicación bancaria real (derecha).
Agrandar / Comparación entre un WebAPK de phishing instalado (izquierda) y una aplicación bancaria real (derecha).

ESET

El ataque comienza con un mensaje enviado por mensaje de texto, llamada automática o mediante un anuncio malicioso en Facebook o Instagram. Cuando las víctimas hacen clic en el enlace del mensaje fraudulento, abren una página que parece similar a la de App Store o Google Play.

Ejemplo de publicidad maliciosa utilizada en estas campañas.

Ejemplo de publicidad maliciosa utilizada en estas campañas.

ESET

Página de destino de phishing que imita a Google Play.

Página de destino de phishing que imita a Google Play.

ESET

Osmani de ESET continuó:

Desde aquí se pide a las víctimas que instalen una “nueva versión” de la aplicación bancaria; un ejemplo de esto se puede ver en la Figura 2. Dependiendo de la campaña, al hacer clic en el botón instalar/actualizar se inicia la instalación de una aplicación maliciosa desde el sitio web, directamente en el teléfono de la víctima, ya sea en forma de un WebAPK (solo para usuarios de Android) o como una PWA para usuarios de iOS y Android (si la campaña no está basada en WebAPK). Este paso crucial de instalación evita las advertencias tradicionales del navegador que indican que se están “instalando aplicaciones desconocidas”: este es el comportamiento predeterminado de la tecnología WebAPK de Chrome, que los atacantes utilizan de forma abusiva.

Ejemplo de página de instalación de imitación.

Ejemplo de página de instalación de imitación.

ESET

El proceso es un poco diferente para los usuarios de iOS, ya que una ventana emergente animada indica a las víctimas cómo agregar la PWA de phishing a su pantalla de inicio (consulte la Figura 3). La ventana emergente copia el aspecto de las indicaciones nativas de iOS. Al final, ni siquiera los usuarios de iOS reciben una advertencia sobre la adición de una aplicación potencialmente dañina a su teléfono.

Figura 3 Instrucciones emergentes de iOS después de hacer clic

Figura 3. Instrucciones emergentes de iOS después de hacer clic en “Instalar” (crédito: Michal Bláha)

ESET

Después de la instalación, se solicita a las víctimas que envíen sus credenciales de banca por Internet para acceder a su cuenta a través de la nueva aplicación de banca móvil. Toda la información enviada se envía a los servidores de C&C de los atacantes.

La técnica es aún más efectiva porque la información de la aplicación asociada con los WebAPK mostrará que se instalaron desde Google Play y que no se les asignaron privilegios de sistema.

Menú de información de WebAPK: observe el

Menú de información de WebAPK: observe “Sin permisos” en la parte superior y la sección “Detalles de la aplicación en la tienda” en la parte inferior.

ESET

Hasta el momento, ESET tiene conocimiento de que la técnica se está utilizando contra clientes de bancos, principalmente de Chequia y, en menor medida, de Hungría y Georgia. Los ataques utilizaron dos infraestructuras de comando y control distintas, lo que indica que dos grupos de amenazas diferentes están utilizando la técnica.

“Esperamos que se creen y distribuyan más aplicaciones imitadoras, ya que después de la instalación es difícil separar las aplicaciones legítimas de las de phishing”, dijo Osmani.

Leave a Comment