viernes, noviembre 8, 2024
MAD-HAV Enjoy Travel Group
AVA Resorts
Grupo Hotelero Islazul
Irtra
Mónica Eventos y Bodas
Cuba Energy Summit
Walmart
Realidad Turística
Servicios Médicos Cubanos
Barceló Solymar
MuniGuate
Grupo Hotelero Islazul
Irtra
Mónica Eventos y Bodas
Instituto Hondureño de Turismo
Los Portales
Agexport
Intecap
MAD-HAV Enjoy Travel Group
Cervecería Centroamericana S.A.
AVA Resorts
Walmart
Centro Nacional de Cirugía de Mínimo Acceso de Cuba
Realidad Turística
Irtra
blackanddecker
INOR
Cuba Energy Summit
CUN-HAV Enjoy Travel Group
MITM Events
Herbalife
Nestle

Nuevo método de phishing adaptado a usuarios de Android e iOS

ESET, compañía líder en detección proactiva de amenazas, identificó una campaña de phishing dirigida a usuarios de móviles que tenía como objetivo a clientes de bancos. Esta novedosa técnica instala una aplicación de phishing desde un sitio web de terceros sin que el usuario tenga que permitir la instalación de aplicaciones de terceros, la misma afecta tanto a usuarios de iOS como Android. La mayoría de los casos conocidos al momento se han producido en Republica Checa, y aplicaciones dirigidas al banco húngaro OTP Bank y al banco georgiano TBC Bank.

El equipo de investigación de ESET identificó una serie de campañas de phishing dirigidas a usuarios móviles que utilizaban tres mecanismos de entrega de URL diferentes: llamadas de voz automatizadas, mensajes SMS y publicidad maliciosa en redes sociales.

La entrega de llamadas de voz se realizó a través de una llamada automatizada que advertía al usuario sobre una aplicación bancaria desactualizada y le pedía que seleccione una opción en el teclado numérico. Tras pulsar el botón correcto, se enviaba una URL de phishing por SMS.

El acercamiento inicial por SMS se realizó mediante el envío indiscriminado de mensajes a números de teléfono checos. El mensaje enviado incluía un enlace de phishing y un texto para que las víctimas realizaran ingeniería social y visitaran el enlace.

La propagación a través de anuncios maliciosos se realizó mediante el registro de anuncios en plataformas Meta como Instagram y Facebook. Estos anuncios incluían una llamada a la acción, como una oferta limitada para los usuarios a que “descargaran una actualización a continuación”. Esta técnica permitió a los actores de amenazas especificar el público objetivo por edad, sexo, etc. Los anuncios aparecían entonces en las redes sociales de las víctimas.

Después de abrir la URL entregada en la primera etapa, las víctimas de Android se encontraban con una página de phishing de alta calidad que imitaba la página oficial de la tienda Google Play para la aplicación bancaria objetivo, o un sitio web de imitación de la aplicación.

A partir de ahí, se pide a las víctimas que instalen una “nueva versión” de la aplicación bancaria. Dependiendo de la campaña, al hacer clic en el botón instalar/actualizar se inicia la instalación de una aplicación maliciosa desde el sitio web, directamente en el teléfono de la víctima, ya sea en forma de WebAPK (sólo para usuarios de Android), o como Aplicación Web Progresiva (PWA, por sus siglas en inglés) para usuarios de iOS y Android. Lo destacado de esta instancia es que elude las advertencias tradicionales de los navegadores de “instalar apps desconocidas”: este es el comportamiento por defecto de la tecnología WebAPK de Chrome, de la que abusan los atacantes.

El proceso es un poco diferente para los usuarios de iOS, ya que una ventana emergente animada indica a las víctimas cómo añadir la PWA de phishing a su pantalla de inicio. La ventana emergente copia el aspecto de los mensajes nativos de iOS. Al final, no se advierte a los usuarios de iOS sobre la adición de una aplicación potencialmente dañina a su teléfono.

Tras la instalación, se pide a las víctimas que introduzca sus credenciales bancarias por Internet para acceder a su cuenta a través de la nueva aplicación de banca móvil. Toda la información facilitada se envía a los servidores de C&C de los atacantes.

Los anuncios maliciosos incluían una mezcla de la mascota oficial del banco (camaleón azul), así como logotipos del banco y texto que prometía una recompensa económica al instalar la aplicación o advertía a los usuarios de que se había lanzado una actualización crítica.

Toda la información de acceso robada se registraba a través de un servidor backend, que luego enviaba los datos de acceso bancario introducidos por el usuario a un chat de grupo de Telegram. Las llamadas HTTP para enviar mensajes al chat de grupo del actor de la amenaza se realizaron a través de la API oficial de Telegram. Según mencionan desde ESET, esta técnica no es nueva y se utiliza en varios kits de phishing.

“Dado que se emplearon dos infraestructuras de C&C drásticamente diferentes, hemos determinado que dos grupos distintos son responsables de la propagación de las aplicaciones de phishing. Seguramente se crearán más aplicaciones de imitación, ya que después de la instalación es difícil separar las aplicaciones legítimas de las de phishing. Toda la información sensible encontrada durante nuestra investigación se envió rápidamente a los bancos afectados para su procesamiento. También coordinamos el desmantelamiento de múltiples dominios de phishing y servidores de C&C”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

Fuente. ESET

Servicios Médicos Cubanos
Realidad Turística
Los Portales
Intecap
CUN-HAV Enjoy Travel Group
MAD-HAV Enjoy Travel Group
MuniGuate
Irtra
Cervecería Centroamericana S.A.
AVA Resorts
Barceló Solymar
Nestle
Walmart
Grupo Hotelero Islazul
Agexport
blackanddecker
Centro Nacional de Cirugía de Mínimo Acceso de Cuba
INOR
Mónica Eventos y Bodas
Cuba Energy Summit
Instituto Hondureño de Turismo
MITM Events
Irtra
Herbalife

Related Articles

CUN-HAV Enjoy Travel Group
Nestle
blackanddecker
AVA Resorts
Barceló Solymar
Mónica Eventos y Bodas
Cervecería Centroamericana S.A.
INOR
MuniGuate
Realidad Turística
Los Portales
Servicios Médicos Cubanos
MAD-HAV Enjoy Travel Group
Cuba Energy Summit
Irtra
Walmart
Irtra
Intecap
Instituto Hondureño de Turismo
Agexport
Centro Nacional de Cirugía de Mínimo Acceso de Cuba
Herbalife
Grupo Hotelero Islazul
MITM Events

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí
Captcha verification failed!
La puntuación de usuario de captcha falló. ¡por favor contáctenos!

MITM Events
Walmart
Cervecería Centroamericana S.A.
MuniGuate
Grupo Hotelero Islazul
Irtra
CUN-HAV Enjoy Travel Group
Herbalife
Mónica Eventos y Bodas
AVA Resorts
Barceló Solymar
Nestle
blackanddecker
Agexport
Realidad Turística
INOR
Centro Nacional de Cirugía de Mínimo Acceso de Cuba
MAD-HAV Enjoy Travel Group
Irtra
Cuba Energy Summit
Los Portales
Intecap
Servicios Médicos Cubanos
Instituto Hondureño de Turismo
- Advertisement -
Hotel Barcelo Solymar
AirEuropa
Barcelo Guatemala City
Irtra
Blue Diamond Resorts
MuniGuate
Henkel Latinoamerica
Cubacel
Intecap
Revista Colombiana de Turismo Passport
Maggi - GLUTEN-FREE
Havanatur

Lo más leído...

- Advertisement -
Irtra
MuniGuate
Blue Diamond Resorts
Intecap
AirEuropa
Henkel Latinoamerica
Revista Colombiana de Turismo Passport
Barcelo Guatemala City
Havanatur
Maggi - GLUTEN-FREE
Cubacel
Hotel Barcelo Solymar