Investigadores de ciberseguridad identificaron apps maliciosas utilizadas para robar credenciales bancarias de clientes de ocho bancos de Malasia. Los expertos compartieron detalles de este engaño a modo preventivo ya que esta técnica se podría replicar en todo el mundo.
Los ciberdelincuentes intentan robar datos bancarios utilizando sitios web falsos que se hacen pasar por servicios legítimos. En general, usan nombres de dominios similares a servicios oficiales y copian el diseño del sitio para pasar inadvertidos.
Esta campaña fue identificada por primera vez a finales de 2021. En aquel entonces los hackers se hicieron pasar por servicios de limpieza legítimo Maid4u.
Asimismo, el engaño es distribuido a través de anuncios de Facebook, donde se solicita a potenciales víctimas que descargan la app.
En enero de 2022, MalwareHunterTeam compartió información sobre otros tres sitios maliciosos y troyanos para Android atribuidos a esta campaña. Además, investigadores de Eset encontraron otros cuatro sitios web falsos.
Los sitios suplantaban identidad de servicios disponibles en Malasia: seis de ellos ofrecen servicios de limpieza, como Grabmaid, Maria’s Cleaning, Maid4u, YourMaid, Maideasy y MaidACall. Mientras que el séptimo es una tienda de mascotas llamada PetsMore.
- Te puede interesar: Mujer denuncia fue violada virtualmente en el metaverso de Facebook
Cómo operan estas apps
Estos falsos sitios web no brindan la opción de comprar directamente a través de ellos. En cambio, incluyen enlaces para supuestamente descargar aplicaciones de Google Play.
Al hacer clic, en realidad el usuario no es derivado a la tienda oficial de Google sino a servidores controlados por ciberdelincuentes.
“Para tener éxito, este ataque requiere que las víctimas habiliten la opción ´Instalar aplicaciones desconocidas´ en sus dispositivos, la cual está deshabilitada por defecto. Vale la pena mencionar que cinco de las siete versiones legítimas de estos servicios ni siquiera cuentan con una aplicación disponible en Google Play”, destacó Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de Eset Latinoamérica.
Después de elegir la opción de transferencia directa, a las víctimas se les presenta una página de pago falsa de FPX (Eset)
Para aparentar ser legítimas, las aplicaciones piden a los usuarios que inicien sesión una vez que son abiertas.
El software toma cualquier entrada del usuario y siempre la declara correcta. Manteniendo la apariencia de una tienda online real, pretenden ofrecer productos y servicios para comprar utilizando una interfaz similar a la de las tiendas originales.
Cuando llega el momento de pagar por la compra, a las víctimas se les presentan dos opciones de pago: pago con tarjeta de crédito o mediante la transferencia bancaria.
Víctimas
Así, los atacantes obtienen las credenciales bancarias de sus víctimas. Después de elegir la opción de transferencia directa, a las víctimas se les presenta una página de pago falsa de FPX y se les pide que elijan un banco entre ocho opciones de bancos de Malasia y luego que ingresen sus credenciales. Los bancos apuntados por esta campaña maliciosa son Maybank, Affin Bank, Public Bank Berhad, CIMB Bank, BSN, RHB, Bank Islam Malaysia y Hong Leong Bank.
Después de que las víctimas mandan sus credenciales bancarias, reciben un mensaje de error que informa que el nombre de usuario o la contraseña no es válida.
En este punto, las credenciales ingresadas ya se han enviado a los operadores de malware.
Para asegurarse de que los operadores detrás de esta campaña puedan ingresar a las cuentas bancarias de sus víctimas, las aplicaciones de tiendas online falsas también reenvían a los atacantes todos los mensajes SMS que recibe la víctima en caso de que alguno de esos mensajes contenga el código de autenticación en dos pasos (2FA) enviados por el banco.
Según el equipo de investigación, hasta ahora esta campaña de malware ha estado apuntando únicamente a Malasia: tanto las tiendas online cuya identidad de suplanta, como los bancos apuntados para el robo de credenciales de clientes, son de este país, y los precios de las aplicaciones se muestran en la moneda local, el ringgit malayo.
Para protegerse contra este tipo de amenazas, se debe hacer lo siguiente:
- Solo ingresar en sitios web legítimos. No entrar desde enlaces que se reciben o ven en redes porque se podría ser redirigido a una página falsa
- Tener cuidado al hacer clic en anuncios y no seguir resultados que ofrecen motores de búsqueda pagos.
- Prestar atención a la fuente de las aplicaciones que está descargando. Asegurarse de ser redirigido a la tienda Google Play cuando obtenga una aplicación.
- Activar la verificación en dos pasos, siempre que sea posible. En esta nota se explica cómo hacerlo en detalle, tanto en el correo como redes sociales y otras cuentas.
En vez de tomar como segundo factor el SMS; es conveniente optar por el uso de códigos que llegan por aplicaciones como Google Authenticator o bien llaves físicas.
- Mantener el software actualizado.
- Utilizar una solución de seguridad.
