Se ha detectado un nuevo método de estafa dirigida a usuarios de móviles que tiene como objetivo ingresar a sus cuentas bancarias. El fraude se realiza con un método de phishing —técnica de ingeniería social en la que suplantan la identidad de compañías u organismos— adaptado a usuarios tanto de Android como iOS
La estafa se basa en la instalación de una aplicación desde un sitio web de terceros sin que el usuario tenga que permitir la instalación de aplicaciones de terceros. Una investigación de ESET identificó que la mayoría de los casos se han producido en República Checa, en específico a OTP Bank y a TBC Bank; no obstante, señala que los usuarios en el mundo deben permanecer alertas.
La investigación identificó que la estafa se realiza mediante tres mecanismos de entrega de URL: llamadas de voz automatizadas, mensajes SMS y publicidad maliciosa en redes sociales.
Pasos de la estafa a cuentas bancarias
Después de abrir la URL mediante alguno de los métodos señalados anteriormente, las víctimas de Android se encontraban con una página de phishing de alta calidad que imitaba la página oficial de la tienda Google Play para la aplicación bancaria objetivo.
A partir de ahí, se pide a las víctimas de la estafa que instalen la nueva versión de la aplicación bancaria. Lo destacado de esta instancia es que elude las advertencias tradicionales de los navegadores de instalar apps desconocidas.
El proceso es poco diferente para los usuarios de iOS, ya que una ventana emergente animada indica a las víctimas cómo añadir la Aplicación Web Progresiva (PWA) de phishing a su pantalla de inicio. La ventana emergente copia el aspecto de los mensajes nativos de iOS y al final no se advierte sobre la adición de una nueva app.
Tras la instalación, se pide a los usuarios que introduzcan sus credenciales bancarias por Internet para acceder a su cuenta a través de la nueva aplicación de banca móvil. Toda la información facilitada se envía a los servidores de los atacantes.
Utilizan anzuelos
Además, las estafas pueden incluir anuncios maliciosos que incluyen una mezcla de la mascota oficial del banco, así como logotipos del mismo, donde prometen una recompensa económica al instalar la aplicación.
La investigación señala que toda la información de acceso robada se registraba a través de un servidor backend, que luego enviaba los datos de acceso bancario introducidos por el usuario a un chat de grupo de Telegram.
Igualmente se advierte que una vez instalada la aplicación maliciosa de este nuevo método de estafa, es probable que se generen más aplicaciones sin que el usuario lo advierta, que son difíciles de separar de las legítimas.
También puedes leer: