Los actores maliciosos están continuamente encontrando formas innovadoras para engañar a los usuarios. Un método alarmantemente eficaz es el uso de aplicaciones maliciosas disfrazadas como herramientas de seguridad y aplicaciones bancarias. En este artículo exploraremos cómo funcionan estas aplicaciones engañosas y proporciona consejos para protegerse contra ellas.
Las aplicaciones maliciosas disfrazadas son programas que parecen legítimos, como aplicaciones bancarias o herramientas de seguridad, pero que tienen intenciones ocultas. Estas aplicaciones se crean para robar información personal, datos bancarios o para instalar software malicioso en el dispositivo del usuario.
Estas aplicaciones engañosas suelen estar disponibles en tiendas de aplicaciones oficiales y no oficiales. A menudo se promocionan como aplicaciones legítimas, utilizando logos y nombres similares a los de entidades confiables. Una vez instaladas, pueden solicitar permisos excesivos, recopilar datos sensibles o redirigir a los usuarios a sitios web fraudulentos.
Los usuarios de smartphones Android en India están siendo blanco de una nueva campaña de malware. Esta estrategia utiliza tácticas de ingeniería social para engañar a los usuarios y hacerles instalar aplicaciones fraudulentas, las cuales están diseñadas para recolectar información confidencial.
"Los atacantes están explotando plataformas de redes sociales como WhatsApp y Telegram para enviar mensajes que incitan a los usuarios a descargar una aplicación maliciosa. Estos mensajes se disfrazan como si fueran de entidades legítimas, como bancos o servicios gubernamentales", explicaron los investigadores de inteligencia de amenazas de Microsoft, Harshita Tripathi y Shivang Desai.
El propósito principal de esta operación es obtener información bancaria, detalles de tarjetas de pago, credenciales de cuentas y otros datos personales.
El modus operandi de este ataque incluye la distribución de archivos APK maliciosos a través de mensajes en redes sociales. Estos mensajes, que se comparten en WhatsApp y Telegram, presentan falsamente las aplicaciones como bancarias y crean una urgencia ficticia, alegando que las cuentas bancarias serán bloqueadas si no actualizan su número de cuenta permanente (PAN) a través de una aplicación fraudulenta.
Una vez instalada, la aplicación maliciosa pide a la víctima que introduzca información como los datos de la cuenta bancaria, el PIN de la tarjeta de débito, el número de la tarjeta PAN y las credenciales de banca en línea. Estos datos son luego enviados a un servidor de comando y control (C2) manejado por los atacantes.
Te podrá interesar leer: Desentrañando el Mundo de la Ciberseguridad C2
"Después de introducir la información solicitada, aparece un mensaje dudoso indicando que los detalles están siendo verificados para actualizar el KYC (Conozca a Su Cliente)", mencionaron los investigadores. "Se le dice al usuario que espere 30 minutos y no elimine ni desinstale la aplicación, que incluso puede ocultar su icono, desapareciendo de la pantalla de inicio pero manteniéndose activa en segundo plano."
Otra característica preocupante de este malware es que solicita permisos para leer y enviar mensajes SMS. Esto le permite interceptar contraseñas de un solo uso (OTP) y reenviar los mensajes de texto de las víctimas. Además, se ha descubierto que variantes de este troyano bancario roban datos de tarjetas de crédito, información personal identificable (PII) y mensajes SMS entrantes, poniendo a los usuarios en riesgo de fraude financiero.
Es importante destacar que para que estos ataques sean efectivos, los usuarios deben haber activado la opción de instalar aplicaciones de fuentes desconocidas, fuera de la tienda oficial de Google Play.
"Infecciones por troyanos bancarios en dispositivos móviles pueden representar graves riesgos para la información personal, privacidad, integridad del dispositivo y seguridad financiera de los usuarios", advirtieron los investigadores. Estas amenazas suelen camuflarse como aplicaciones legítimas, utilizando tácticas de ingeniería social para alcanzar sus metas y sustraer datos sensibles y activos financieros.
Este desarrollo ocurre en un contexto donde el ecosistema de Android ha sido blanco del troyano SpyNote, el cual ha estado apuntando a usuarios de Roblox bajo la fachada de un mod, robando información confidencial. En un escenario diferente, se han empleado sitios web falsos para adultos como cebo para inducir a los usuarios a descargar un malware para Android llamado Enchant, enfocado específicamente en sustraer datos de carteras de criptomonedas.
Te podrá interesar leer: SecuriDropper: Nuevo Dropper-as-a-Service de Android desafía a Google
"El malware Enchant aprovecha las funciones de servicio de accesibilidad para atacar carteras de criptomonedas concretas, incluyendo imToken, OKX, Bitpie Wallet y TokenPocket", informó Cyble en un análisis reciente. Su principal objetivo es robar información crítica como direcciones de carteras, frases mnemotécnicas, detalles de activos de las carteras, contraseñas y claves privadas de dispositivos comprometidos.
El mes pasado, se identificó en Google Play Store varias aplicaciones maliciosas que mostraban publicidad intrusiva, suscribían a los usuarios a servicios premium sin su consentimiento y promocionaban estafas de inversión bajo la apariencia de software comercial.
Ante la creciente ola de malware para Android, Google ha anunciado nuevas medidas de seguridad, incluyendo escaneos de código en tiempo real para aplicaciones previamente no analizadas. Además, con el lanzamiento de Android 13, ha implementado configuraciones restringidas que impiden que las aplicaciones accedan a ajustes críticos del dispositivo (como servicios de accesibilidad), a menos que el usuario lo autorice explícitamente.
Samsung, por su parte, a finales de octubre de 2023, introdujo una nueva función de bloqueo automático para dispositivos Galaxy, que impide la instalación de aplicaciones de fuentes distintas a Google Play Store y Galaxy Store, y bloquea comandos e instalaciones de software malintencionado a través del puerto USB.
Para prevenir la descarga de software malicioso desde Google Play y otras fuentes confiables, se recomienda a los usuarios verificar la legitimidad de los desarrolladores de aplicaciones, analizar las reseñas y estar atentos a los permisos solicitados por las aplicaciones.
En resumen, el aumento de aplicaciones maliciosas disfrazadas como herramientas de seguridad y aplicaciones bancarias es una preocupación significativa en el ámbito de la ciberseguridad. Al entender cómo operan estas aplicaciones y seguir prácticas recomendadas para la seguridad en línea, los usuarios pueden protegerse eficazmente contra estos engaños. La vigilancia y la educación continua son clave para mantenerse seguro en el siempre cambiante panorama de las amenazas cibernéticas.