Atención: aplicaciones maliciosas roban credenciales bancarias en iOS y Android mediante una nueva técnica de phishing

Ha surgido una nueva ola de ataques de phishing que pone en riesgo a los usuarios de iOS y Android. La empresa de seguridad ESET ha alertado sobre una sofisticada táctica de phishing que elude las medidas de seguridad estándar y que podría comprometer las credenciales bancarias de innumerables usuarios.

Los cibercriminales han desarrollado una estrategia engañosa que utiliza aplicaciones web progresivas (PWA) y WebAPK, aplicaciones basadas en la web diseñadas para imitar el software bancario legítimo. Estas aplicaciones maliciosas están diseñadas para parecerse y funcionar como aplicaciones bancarias móviles genuinas, pero su verdadero propósito es robar su información confidencial.

En los dispositivos iOS, los usuarios son engañados para que agreguen aplicaciones PWA a sus pantallas de inicio, creyendo que son aplicaciones confiables. Los usuarios de Android enfrentan una amenaza aún más insidiosa: los WebAPK. Estas aplicaciones pueden hacerse pasar por aplicaciones nativas y aparentar haber sido descargadas de Google Play sin activar ninguna de las advertencias de seguridad habituales. Sorprendentemente, incluso si un usuario no ha permitido la instalación de aplicaciones de terceros, estos WebAPK pueden eludir esas configuraciones, ocultando aún más su intención maliciosa.

Una vez instaladas, estas aplicaciones fraudulentas solicitan a los usuarios que introduzcan sus credenciales bancarias con el pretexto de acceder a sus cuentas. Toda la información introducida se envía inmediatamente a los servidores de comando y control (C&C) de los atacantes, lo que les da a los cibercriminales acceso sin restricciones a las cuentas bancarias de las víctimas.

Los ataques, que al parecer comenzaron a finales de 2023, ya han afectado a usuarios de banca móvil en la República Checa, Hungría y Georgia. Sin embargo, el potencial de que esta táctica de phishing se extienda a nivel mundial es real y alarmante. ESET advierte de que es probable que los atacantes desarrollen más aplicaciones de imitación, lo que hará cada vez más difícil para los usuarios distinguir entre aplicaciones legítimas y fraudulentas.

Esta amenaza en constante evolución sirve como un claro recordatorio de que hay que estar alerta y ser cauteloso. Si recibes algún aviso para instalar o actualizar una aplicación bancaria, verifica su autenticidad a través de los canales oficiales. Tu seguridad financiera puede depender de ello.