20 de agosto de 2024Ravie LakshmananSeguridad móvil / Fraude bancario Los usuarios de dispositivos móviles de la República Checa son el objetivo de una novedosa campaña de phishing que aprovecha una aplicación web progresiva (PWA) en un intento de robar las credenciales de sus cuentas bancarias. Los ataques se han dirigido al Československá obchodní banka (CSOB) con sede en la República Checa, así como al banco húngaro OTP y al banco georgiano TBC, según la empresa de ciberseguridad eslovaca ESET. «Los sitios web de phishing dirigidos a iOS indican a las víctimas que agreguen una aplicación web progresiva (PWA) a sus pantallas de inicio, mientras que en Android la PWA se instala después de confirmar las ventanas emergentes personalizadas en el navegador», dijo el investigador de seguridad Jakub Osmani. «En este punto, en ambos sistemas operativos, estas aplicaciones de phishing son en gran medida indistinguibles de las aplicaciones bancarias reales que imitan». Lo más destacable de esta táctica es que los usuarios son engañados para que instalen una PWA, o incluso WebAPK en algunos casos en Android, desde un sitio de terceros sin tener que permitir específicamente la carga lateral. Un análisis de los servidores de comando y control (C2) utilizados y la infraestructura de backend revela que dos actores de amenazas diferentes están detrás de las campañas. Estos sitios web se distribuyen a través de llamadas de voz automatizadas, mensajes SMS y publicidad maliciosa en las redes sociales a través de Facebook e Instagram. Las llamadas de voz advierten a los usuarios sobre una aplicación bancaria desactualizada y les piden que seleccionen una opción numérica, tras lo cual se envía la URL de phishing. A los usuarios que terminan haciendo clic en el enlace se les muestra una página similar que imita la lista de Google Play Store para la aplicación bancaria en cuestión, o un sitio imitador de la aplicación, lo que finalmente conduce a la «instalación» de la PWA o la aplicación WebAPK bajo la apariencia de una actualización de la aplicación. «Este paso crucial de instalación evita las advertencias tradicionales de los navegadores sobre ‘instalar aplicaciones desconocidas’: este es el comportamiento predeterminado de la tecnología WebAPK de Chrome, que es abusada por los atacantes», explicó Osmani. «Además, la instalación de un WebAPK no produce ninguna de las advertencias de ‘instalación desde una fuente no confiable'». Para aquellos que están en dispositivos Apple iOS, se proporcionan instrucciones para agregar la aplicación PWA falsa a la pantalla de inicio. El objetivo final de la campaña es capturar las credenciales bancarias ingresadas en la aplicación y exfiltrarlas a un servidor C2 controlado por el atacante o un chat grupal de Telegram. ESET dijo que registró la primera instancia de phishing a través de PWA a principios de noviembre de 2023, con oleadas posteriores detectadas en marzo y mayo de 2024. La revelación se produce cuando los investigadores de ciberseguridad han descubierto una nueva variante del troyano Gigabud para Android que se propaga a través de sitios web de phishing que imitan a Google Play Store o sitios que se hacen pasar por varios bancos o entidades gubernamentales. «El malware tiene varias capacidades, como la recopilación de datos sobre el dispositivo infectado, la exfiltración de credenciales bancarias, la recopilación de grabaciones de pantalla, etc.», dijo Symantec, propiedad de Broadcom. También sigue al descubrimiento de Silent Push de 24 paneles de control diferentes para una variedad de troyanos bancarios de Android como ERMAC, BlackRock, Hook, Loot y Pegasus (que no debe confundirse con el software espía del mismo nombre de NSO Group) que son operados por un actor de amenazas llamado DukeEugene. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.