Un nuevo método de phishing busca robar tus claves bancarias en iPhone y Android
Una nueva campaña de cibercrimen detectada por analistas de ESET, empresa de ciberseguridad, se está valiendo de un método distinto al de otros intentos comunes de hackeo, consistente en la utilización de las llamadas Progressive Web Applications (PWA) para lograr instalar malware en los smartphones de las víctimas.
Esta campaña, dirigida a usuarios de iPhone y Android en Hungría, República Checa y Georgia, ha utilizado las PWA porque estas son enlaces a sitios web que parecen ser aplicaciones reales, lo que puede resultar confuso para algunas personas.
Las PWA en un ordenador son algo así como enlaces a páginas web que se pueden instalar en el ordenador como acceso directo, pero siendo algo más completas que un simple enlace. Ofrecen una forma más cómoda de utilizar aplicaciones, pero su actividad se desarrolla en la web. Desde ESET las definen como «aplicaciones creadas con tecnologías de aplicaciones web tradicionales que pueden ejecutarse en múltiples plataformas y dispositivos».
Los hackers han usado el equivalente en Android de las PWA, llamadas WebAPK, para engañar a los usuarios haciéndoles creer que estaban instalando una aplicación legítima de su entidad bancaria. La principal ventaja es que las WebAPK no requieren tener activado el permiso para la instalación de apps desconocidas o de terceros, debido a no llegar a ser del todo una aplicación. No obstante, las WebAPK sí que instalan un archivo APK (Android Package Kit) en el sistema Android.
Algo similar ocurre en iPhone, donde tampoco se emite ningún mensaje de advertencia al usuario sobre la instalación de la PWA. En iOS, eso sí, el proceso es algo distinto, ya que se muestra un pop-up con las instrucciones para añadir la PWA a la pantalla de inicio.
Los afectados recibieron un mensaje de suplantación de su entidad bancaria, que les llegó por vía SMS, llamada de voz o publicidad maliciosa, ya que los hackers utilizaron estos tres métodos como vías de contacto. En el mensaje, se le advertía al usuario de que su app bancaria estaba desactualizada, y que era de vital importancia instalar la nueva versión. Enlazando a una web falsa suplantando la Play Store, se proporcionaba el enlace de descarga de la WebAPK, las víctimas descargaban este paquete malicioso en su móvil, sin recibir una advertencia del dispositivo por tratarse de una WebAPK. Si entraban y rellenaban sus credenciales bancarias, los cibercriminales se harían al instante con el poder de su cuenta.
Pese a todo, las WebAPK deberían ser fácilmente distinguibles de las aplicaciones normales porque incluyen en su logotipo el icono del navegador de Internet que use el usuario, como puede verse en la imagen anterior.
Anuncios en Facebook e Instagram
Una de las vías de contacto usadas por los hackers, como decíamos, fue la de anuncios publicitarios en redes sociales de Meta, como Facebook o Instagram. No es la primera vez que un grupo ciberdelincuente es capaz de colar publicidad en estas plataformas, pese a tratarse de una auténtica estafa. Estos anuncios incitaban a los usuarios a la descarga del archivo con llamadas a la acción, como una en la que aseguraban ofrecerle al usuario descuentos u ofertas si se daban prisa en actualizar su app bancaria.
Desde ESET prevén que se creen y distribuyan más aplicaciones falsas en forma de WebAPK, ya que después de la instalación, «es difícil separar las aplicaciones legítimas de las de phishing».