Un novedoso método de phishing adaptado a usuarios de Android e iOS

Se descubrió una serie de campañas de phishing dirigidas a usuarios móviles que utilizaban tres mecanismos de entrega de URL diferentes. Estos mecanismos incluyen llamadas de voz automatizadas, mensajes SMS y publicidad maliciosa en redes sociales.
La entrega de llamadas de voz se realiza a través de una llamada automatizada que advierte al usuario sobre una aplicación bancaria desactualizada y le pide que seleccione una opción en el teclado numérico. Tras pulsar el botón correcto, se envía una URL de phishing por SMS. Así lo informó Michal Bláha en un tuit.

La entrega inicial por SMS se realizó mediante el envío indiscriminado de mensajes a números de teléfono checos. El mensaje enviado incluía un enlace de phishing y un texto para que las víctimas realizaran ingeniería social y visitaran el enlace.

La propagación a través de anuncios maliciosos se realizó mediante el registro de anuncios en plataformas Meta como Instagram y Facebook. Estos anuncios incluían una llamada a la acción, como una oferta limitada para los usuarios que "descargaran una actualización a continuación". Esta técnica permite a los actores de amenazas especificar el público objetivo por edad, sexo, etc. Los anuncios aparecían entonces en las redes sociales de las víctimas.

Después de abrir la URL entregada en la primera etapa, las víctimas de Android se encuentran con una página de phishing de alta calidad que imita la página oficial de la tienda Google Play para la aplicación bancaria objetivo, o un sitio web de imitación de la aplicación. Se trata de dos campañas distintas. Es posible que la campaña que utiliza imágenes de Google Play se modifique a sí misma en función del User-Agent recibido para imitar las imágenes de Apple Store. No se observó esta técnica en los casos analizados.

A partir de aquí se pide a las víctimas que instalen una "nueva versión" de la aplicación bancaria;  Dependiendo de la campaña, al hacer clic en el botón instalar/actualizar se inicia la instalación de una aplicación maliciosa desde el sitio web, directamente en el teléfono de la víctima, ya sea en forma de WebAPK (sólo para usuarios de Android), o como PWA para usuarios de iOS y Android (si la campaña no está basada en WebAPK). Este paso crucial de la instalación elude las advertencias tradicionales de los navegadores de "instalar apps desconocidas": este es el comportamiento por defecto de la tecnología WebAPK de Chrome, de la que abusan los atacantes.

El proceso es un poco diferente para los usuarios de iOS, ya que una ventana emergente animada indica a las víctimas cómo añadir la PWA de phishing a su pantalla de inicio. La ventana emergente copia el aspecto de los mensajes nativos de iOS. Al final, ni siquiera se advierte a los usuarios de iOS sobre la adición de una aplicación potencialmente dañina a su teléfono.
Tras la instalación, se pide a las víctimas que introduzcan sus credenciales de banca por Internet para acceder a su cuenta a través de la nueva aplicación de banca móvil. Toda la información facilitada se envía a los servidores de C&C de los atacantes.

Conclusión

La mayoría de los casos conocidos se han producido en Chequia, y sólo dos aplicaciones de phishing han aparecido fuera de esta región (en Hungría y Georgia).

Dado que se emplearon dos infraestructuras de C&C drásticamente diferentes, se determinó que dos grupos distintos son responsables de la propagación de las aplicaciones de phishing.

Se espera que se creen y distribuyan más aplicaciones de imitación, ya que después de la instalación es difícil separar las aplicaciones legítimas de las de phishing.

Fuente: https://www.welivesecurity.com/es/investigaciones/nuevo-metodo-phishing-...