ESET, compañía líder en detección proactiva de amenazas, identificó una campaña de phishing dirigida a usuarios de móviles que tenía como objetivo a clientes de bancos. Esta novedosa técnica delictiva instala una aplicación de phishing desde un sitio web de terceros sin que el usuario tenga que permitir la instalación de aplicaciones, la misma afecta tanto a usuarios de iOS como de Android. La mayoría de los casos conocidos al momento se han producido en República Checa, y aplicaciones dirigidas al banco húngaro OTP Bank y al banco georgiano TBC Bank.

El equipo de investigación de ESET identificó una serie de campañas de phishing dirigidas a usuarios móviles que utilizaban tres mecanismos de entrega de URL diferentes: llamadas de voz automatizadas, mensajes SMS y publicidad maliciosa en redes sociales.

La entrega de llamadas de voz se realizó a través de una llamada automatizada que advertía al usuario sobre una aplicación bancaria desactualizada y le pedía que seleccione una opción en el teclado numérico. Tras pulsar el botón correcto, se enviaba una URL de phishing por SMS.

El acercamiento inicial por SMS se realizó mediante el envío indiscriminado de mensajes a números de teléfono checos. El mensaje enviado incluía un enlace de phishing y un texto para que las víctimas realizaran ingeniería social y visitaran el enlace.

La propagación a través de anuncios maliciosos se realizó mediante el registro de anuncios en plataformas Meta como Instagram y Facebook. Estos anuncios incluían una llamada a la acción, como una oferta limitada para los usuarios a que «descargaran una actualización a continuación». Esta técnica permitió a los actores de amenazas especificar el público objetivo por edad, sexo, etc. Los anuncios aparecían entonces en las redes sociales de las víctimas.

Después de abrir la URL entregada en la primera etapa, las víctimas de Android se encontraban con una página de phishing de alta calidad que imitaba la página oficial de la tienda Google Play para la aplicación bancaria objetivo, o un sitio web de imitación de la aplicación.

A partir de ahí, se pide a las víctimas que instalen una «nueva versión» de la aplicación bancaria. Dependiendo de la campaña, al hacer clic en el botón instalar/actualizar se inicia la instalación de una aplicación maliciosa desde el sitio web, directamente en el teléfono de la víctima, ya sea en forma de WebAPK (solo para usuarios de Android), o como Aplicación Web Progresiva (PWA, por sus siglas en inglés) para usuarios de iOS y Android. Lo destacado de esta instancia es que elude las advertencias tradicionales de los navegadores de «instalar apps desconocidas»: este es el comportamiento por defecto de la tecnología WebAPK de Chrome, de la que abusan los atacantes.

El proceso es un poco diferente para los usuarios de iOS, ya que una ventana emergente animada indica a las víctimas cómo añadir la PWA de phishing a su pantalla de inicio. La ventana emergente copia el aspecto de los mensajes nativos de iOS. Al final, no se advierte a los usuarios de iOS sobre la adición de una aplicación potencialmente dañina a su teléfono.

Tras la instalación, se pide a las víctimas que introduzca sus credenciales bancarias por Internet para acceder a su cuenta a través de la nueva aplicación de banca móvil. Toda la información facilitada se envía a los servidores de C&C de los atacantes.

Los anuncios maliciosos incluían una mezcla de la mascota oficial del banco (camaleón azul), así como logotipos del banco y texto que prometía una recompensa económica al instalar la aplicación o advertía a los usuarios de que se había lanzado una actualización crítica.

Toda la información de acceso robada se registraba a través de un servidor backend, que luego enviaba los datos de acceso bancario introducidos por el usuario a un chat de grupo de Telegram. Las llamadas HTTP para enviar mensajes al chat de grupo del actor de la amenaza se realizaron a través de la API oficial de Telegram. Según mencionan desde ESET: esta técnica no es nueva y se utiliza en varios kits de phishing.

Advertencia

“Dado que se emplearon dos infraestructuras de C&C drásticamente diferentes, hemos determinado que dos grupos distintos son responsables de la propagación de las aplicaciones de phishing. Seguramente se crearán más aplicaciones de imitación, ya que después de la instalación es difícil separar las aplicaciones legítimas de las de phishing. Toda la información sensible encontrada durante nuestra investigación se envió rápidamente a los bancos afectados para su procesamiento. También coordinamos el desmantelamiento de múltiples dominios de phishing y servidores de C&C”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Coordenadas de contacto con ESET en Venezuela: https://www.eset.com/ve/. También sus redes sociales: Instagram (@esetla) y Facebook: (ESET).

Con información e imagen referencial suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en Twitter e Instagram puedes conocer diariamente nuestros contenidos

La entrada Aplicaciones bancarias maliciosas: Nuevo phishing contra usuarios de Android e iOS apareció primero en Bitfinance.

Facebook, YouTube e Instagram se han convertido en plataformas que literalmente catapultaron a ciertas personas al estrellato, otorgándoles el galardón o reconocimiento de “Influencers”. Es tal la cantidad de seguidores que cosechan y el dinero que se mueve a su alrededor, que los cibercriminales han enfocado su mira en ellos, poniendo en práctica estrategias y engaños que les permitan sacar su propio rédito económico. ESET, compañía líder en detección proactiva de amenazas, advierte que analiza las tácticas más frecuentes utilizadas por los ciberatacantes para acceder al dinero y de qué manera los influencers pueden estar más protegidos.

El mercado mundial de marketing de influencers, que en el año 2022 fue valuado en 33.200 millones de dólares, seguirá creciendo exponencialmente. De hecho, se espera que para el año 2032 roce los 200 mil millones de dólares. A su vez, según el sitio HubSpot, existen varias categorías de influencers según la cantidad de seguidores y dependiendo de ello (entre otros factores) “un nanoinfluencer gana entre 10 y 100 USD, un micro entre 100 y 500 USD, y un macro entre 5000 y 10.000 USD por publicación”. Estas cifras sirvieron como cebo para que los cibercriminales comenzaran a buscar (e implementar) estrategias para sacar un rédito económico. En la práctica, fueron tentados y se motivaron a ello.

La ingeniería social es una de las herramientas preferidas de los ciberatacantes para vulnerar a los influencers, que muchas veces no tienen los recursos o los conocimientos con los que habitualmente se protegen las empresas.

ESET, comparte algunos de ejemplos de estafas, robos y engaños relacionados

El falso podcast: Hannah Shaw es popularmente conocida en las redes sociales como la “Dama Gatita”; su pseudónimo se debe a que en sus videos enseña a las personas cuáles son los cuidados adecuados para los gatos recién nacidos. Gracias a sus seguidores (más de un millón), recaudó importantes cifras para ayudar al rescate de estos animales y a refugios. Viendo en la popularidad de Shaw una veta para sacar un rédito económico y gracias a una técnica de ingeniería social, los ciberdelincuentes lograron apoderarse de su cuenta comercial de Meta.

Esto lo hicieron simulando ser conductores de un podcast. En la previa y para coordinar los detalles de la entrevista, los actores maliciosos invitaron a la víctima a una llamada de Zoom. Allí, solicitaron a Shaw acceso a la configuración de Facebook Live con la excusa de generar ingresos y ella accedió pensando que era parte normal del proceso. En ese momento, los ciberatacantes tomaron control de la cuenta en calidad de Administrador, dejando limpia la página para sustituirlos por enlaces falsos que en realidad direccionaban a sitios para generar ingresos fáciles y rápidos con publicidad.

Embajadores pero de la estafa: Los “Finfluencers” son un subgrupo de influencers dedicado especialmente a la industria de las finanzas. En sus cuentas, brindan asesoramiento económico, consejos y tips a su gran cantidad de seguidores con el objetivo de que puedan hacerse ricos rápidamente, inviertan en acciones o criptomonedas y puedan implementar una planificación financiera. En este caso, los cibercriminales (y también valiéndose de la ingeniería social para lograr su cometido), ofrecían una falsa oportunidad laboral para que los finfluencers se conviertan en embajadores de una marca y promocionaran los productos de la misma.

Lo cierto es que el objetivo final de los atacantes era hacerse de la información personal y financiera de sus víctimas. Con la excusa de necesitar esos datos para hacer el pago del supuesto trabajo, lo que hacían una vez que obtenían esa información era vaciar sus cuentas bancarias hasta tomar el control de sus redes sociales.

El malware siempre presente: Otros influencers han sido atacados con malware, ya sea por la descarga de algún archivo malicioso o un clic en un enlace también apócrifo. Así, los ciberatacantes pueden tomar el control muy fácilmente de las cuentas y manejarlas. Esto lo logran al publicar contenidos que nada tiene que ver con el que comparte el influencer normalmente, borrando todo el contenido que había disponible, y hasta cambiando el logo y el nombre de las cuentas. También es común que los actores maliciosos pidan sumas exorbitantes de dinero para que la víctima pueda recuperar sus redes sociales.

Suplantación de identidad con suspensión incluida: Otra de las técnicas que se conoció por denuncias e investigación, puntualmente en Instagram, consiste en que los ciberatacantes duplican la cuenta original del influencer y piden su suspensión. Para ello, o bien adquieren una cuenta verificada, cambian la biografía e imagen de usuario, para luego presentar un informe a aduciendo que en realidad la víctima se está haciendo pasar por él. Otra opción es realizar un “ataque de spam” contra la cuenta, denunciándola, ya sea por mostrar imágenes de desnudez o violar algún derecho de autor. Cuando el atacante logra que la cuenta sea suspendida, se comunica con la víctima para ofrecerle el desbloqueo de la cuenta siempre que pague una cantidad de dinero por dicho rescate.

Los seguidores, también en la mira: La suplantación de identidad es otra de las técnicas utilizadas en el ámbito de las redes sociales, pero en este caso las víctimas son los seguidores. Es normal que los influencers lancen sorteos, los cuales generan un alto nivel de interacción. Allí entran en juego los ciberdelincuentes, que crean una cuenta duplicada que se hace pasar por la original, y desde allí contacta a los usuarios informando que han sido ganadores de algún sorteo. El objetivo es acceder a la información personal y financiera de sus víctimas.

Los influencers pueden protegerse, tomando acciones para no ser una víctima más de los engaños de los ciberatacantes

ESET comparte algunas buenas prácticas a tener en cuenta:

• Desconfiar como primera medida, si una oferta laboral o posibilidad comercial parece demasiado bueno para ser verdad, probablemente no lo sea.
• No brindar información personal ni financiera sin tener confirmado que del otro lado existe una posibilidad real y verdadera. Una buena investigación es la mejor aliada, como también el contactar con la empresa para confirmar la oferta.
• No dejar que ninguna persona, empresa o aplicación realice publicaciones en sus redes sociales.
• Utilizar en todas las cuentas contraseñas únicas, robustas, extensas y seguras(con mayúsculas, caracteres especiales y números), y cambiarlas periódicamente.
• Prestar atención y analizar de manera atenta y cuidadosa antes de hacer clic en cualquier enlace que llega de manera inesperada.
• Por último y siempre muy importante, contar con una solución de seguridad que brinde protección integral consumiendo menos recursos.

En resumen, ESET recomienda, por todo lo mencionado anteriormente, considerar necesario adoptar buenas prácticas de seguridad, prestar atención a los indicios de que una oferta puede tratarse de una estafa, e informarse sobre las metodologías que utilizan los cibercriminales para perpetrar sus ataques. Así como escuchar Conexión Segura, su podcast con oportuna información verificada para saber qué está ocurriendo en el mundo de la seguridad informática, en: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw.

Con información e imagen suministrada por ESET Latinoamérica y Comstat Rowland Comunicaciones Estratégicas Integrales

(Imagen referencial: ESET Latinoamérica y Comstat Rowland)

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en Twitter e Instagram puedes conocer diariamente nuestros contenidos

La entrada Influencers bajo ataque del cibercrimen: Formas de protegerse y buenas prácticas a considerar  apareció primero en Bitfinance.