Los estafadores están utilizando una técnica novedosa para engañar a los usuarios de iOS y Android para que instalen aplicaciones maliciosas que eluden las medidas de seguridad creadas por Apple y Google para evitar aplicaciones no autorizadas.
Ambos sistemas operativos móviles emplean mecanismos diseñados para ayudar a los usuarios a evitar aplicaciones que roban su información personal, contraseñas u otros datos confidenciales. iOS prohíbe la instalación de todas las aplicaciones que no estén disponibles en su App Store, una estrategia conocida como Walled Garden. Android, por su parte, está configurado de forma predeterminada para permitir solo las aplicaciones disponibles en Google Play. La carga lateral (o la instalación de aplicaciones de otros mercados) debe permitirse manualmente, algo contra lo que Google advierte.
Cuando las aplicaciones nativas no son
Las campañas de phishing que han circulado durante los últimos nueve meses están utilizando métodos nunca vistos hasta ahora para sortear estas protecciones. El objetivo es engañar a las víctimas para que instalen una aplicación maliciosa que se hace pasar por una oficial del banco de la víctima. Una vez instalada, la aplicación maliciosa roba las credenciales de la cuenta y las envía al atacante en tiempo real a través de Telegram.
“Esta técnica es notable porque instala una aplicación de phishing desde un sitio web de terceros sin que el usuario tenga que permitir la instalación de la aplicación de terceros”, dijo Jakub Osmani, analista de la empresa de seguridad ESET. escribió el martes“Para los usuarios de iOS, esta acción podría romper cualquier suposición de que la seguridad es un ‘jardín amurallado’. En Android, esto podría resultar en la instalación silenciosa de un tipo especial de APK, que al examinarlo más de cerca, incluso parece haber sido instalado desde la tienda Google Play”.
El nuevo método consiste en incitar a los objetivos a instalar un tipo especial de aplicación conocida como Aplicación web progresivaEstas aplicaciones dependen únicamente de estándares web para ofrecer funcionalidades que tengan la apariencia y el comportamiento de una aplicación nativa, sin las restricciones que conllevan. La dependencia de los estándares web significa que las PWA, como se las abrevia, en teoría funcionarán en cualquier plataforma que ejecute un navegador compatible con los estándares, lo que las hace funcionar igualmente bien en iOS y Android. Una vez instaladas, los usuarios pueden agregar PWA a su pantalla de inicio, lo que les da una sorprendente similitud con las aplicaciones nativas.
Si bien las PWA pueden aplicarse tanto a iOS como a Android, la publicación de Osmani usa PWA para aplicarse a aplicaciones de iOS y WebAPK para aplicaciones de Android.
El ataque comienza con un mensaje enviado por mensaje de texto, llamada automática o mediante un anuncio malicioso en Facebook o Instagram. Cuando las víctimas hacen clic en el enlace del mensaje fraudulento, abren una página que parece similar a la de App Store o Google Play.
Osmani de ESET continuó:
Desde aquí se pide a las víctimas que instalen una “nueva versión” de la aplicación bancaria; un ejemplo de esto se puede ver en la Figura 2. Dependiendo de la campaña, al hacer clic en el botón instalar/actualizar se inicia la instalación de una aplicación maliciosa desde el sitio web, directamente en el teléfono de la víctima, ya sea en forma de un WebAPK (solo para usuarios de Android) o como una PWA para usuarios de iOS y Android (si la campaña no está basada en WebAPK). Este paso crucial de instalación evita las advertencias tradicionales del navegador que indican que se están “instalando aplicaciones desconocidas”: este es el comportamiento predeterminado de la tecnología WebAPK de Chrome, que los atacantes utilizan de forma abusiva.
El proceso es un poco diferente para los usuarios de iOS, ya que una ventana emergente animada indica a las víctimas cómo agregar la PWA de phishing a su pantalla de inicio (consulte la Figura 3). La ventana emergente copia el aspecto de las indicaciones nativas de iOS. Al final, ni siquiera los usuarios de iOS reciben una advertencia sobre la adición de una aplicación potencialmente dañina a su teléfono.
Después de la instalación, se solicita a las víctimas que envíen sus credenciales de banca por Internet para acceder a su cuenta a través de la nueva aplicación de banca móvil. Toda la información enviada se envía a los servidores de C&C de los atacantes.
La técnica es aún más efectiva porque la información de la aplicación asociada con los WebAPK mostrará que se instalaron desde Google Play y que no se les asignaron privilegios de sistema.
Hasta el momento, ESET tiene conocimiento de que la técnica se está utilizando contra clientes de bancos, principalmente de Chequia y, en menor medida, de Hungría y Georgia. Los ataques utilizaron dos infraestructuras de comando y control distintas, lo que indica que dos grupos de amenazas diferentes están utilizando la técnica.
“Esperamos que se creen y distribuyan más aplicaciones imitadoras, ya que después de la instalación es difícil separar las aplicaciones legítimas de las de phishing”, dijo Osmani.