Recientes investigaciones de expertos en ciberseguridad revelaron la propagación de una nueva clase de virus que afecta dispositivos iOS y Android. Se trata de una campaña de phishing que usa aplicaciones web para disfrazarse de apps bancarias oficiales y así capturar contraseñas para ingresar a los homebanking de las víctimas.
Además, esta peligrosa amenaza consigue eludir las protecciones de seguridad de los sistemas operativos, pasarlas por encima y actuar sin que sea detectada ni atacada.
Cómo funciona la nueva amenaza de phishing
Según explicaron los especialistas de ESET, los atacantes utilizan las llamadas PWA, sitios web empaquetados que simulan aplicaciones independientes. Con estas apps fraudulentas, logran iniciar ataques a usuarios de Android e iOS. Estas aplicaciones no requieren permisos especiales para su instalación, lo que las hace más difíciles de detectar.
En dispositivos Android, los atacantes usan WebAPK, que son versiones mejoradas de las PWA. Estas aplicaciones aparentan ser legítimas y no generan alertas de seguridad, incluso si se instalan desde fuentes externas a Google Play.
Así se distribuye y propaga el nuevo virus que ataca a iOS y Android
La distribución de estas aplicaciones fraudulentas se lleva a cabo a través de publicidad maliciosa en redes sociales, SMS o mensajes no solicitados en plataformas de mensajería que contienen un enlace que redirige a los usuarios a páginas web de terceros, donde descargan la app falsa. ”Una vez que el usuario instala la aplicación maliciosa, se le solicita que ingrese sus credenciales bancarias, las cuales son enviadas directamente a los servidores controlados por los atacantes”, advirtió ESET.
Estos ataques comenzaron el año pasado y se activaron recién en marzo de 2024. En principio, el virus comenzó a propagarse en Europa central y desde ahí se está expandiendo a todo el mundo.
Posibles consecuencias
Esta amenaza es de gran peligrosidad debido a la dificultad de distinguir estas aplicaciones fraudulentas de las auténticas. Por lo tanto, la posibilidad de afectar a una enorme cantidad de usuarios está latente.
Por ese motivo, los expertos de ESET recomiendan ser extremadamente cautelosos al instalar aplicaciones bancarias y verificar siempre que provienen de fuentes oficiales
Cómo protegerse de esta nueva amenaza
La sofisticación de estas nuevas técnicas de phishing demuestra la creciente necesidad de una mayor educación y concienciación entre los usuarios de dispositivos móviles, tanto de iOS como de Android.
Para protegerse de la nueva clase de ataques de phishing que utilizan aplicaciones web progresivas (PWA) y WebAPK, los usuarios deben adoptar diversas medidas de seguridad basadas en las ya conocidas buenas prácticas de ciberseguridad:
- 1. Verificación de fuentes
Antes de instalar cualquier aplicación, especialmente si se trata de aplicaciones bancarias, los usuarios deben asegurarse de que provienen de fuentes oficiales. Esto incluye verificar la autenticidad de la tienda de aplicaciones (Google Play Store o Apple App Store) y buscar reseñas o comentarios sobre la aplicación en cuestión.
- 2. Investigación de aplicaciones
Realizar una búsqueda online sobre la aplicación y su desarrollador puede ayudar a identificar si tiene denuncias previas de estafas. También se puede buscar el nombre de la app junto con términos como “estafa” o “fraude” para obtener información adicional.
- 3. Uso de autenticación de dos factores (2FA)
Activar la autenticación de dos factores en apps bancarias y otras aplicaciones críticas añade una capa adicional de seguridad. Esto significa que, incluso si un atacante obtiene las credenciales, necesitará un segundo factor (como un código enviado al teléfono) para acceder a la cuenta.
- 4. Cuidado con los enlaces y mensajes sospechosos
Es muy importante ser cautelosos al hacer click en enlaces que aparecen dentro de mensajes SMS, correos electrónicos o de redes sociales. Muchos ataques de phishing se distribuyen a través de estos canales.
- 5. Educación y concienciación
Estar informado sobre las técnicas de phishing y las estafas en línea es vital. Los usuarios deben educarse sobre cómo funcionan estos ataques y estar atentos a las señales de advertencia, como solicitudes inusuales de información personal o financiera.
- 6. Instalación de software de seguridad
Utilizar software de seguridad (antivirus) confiable en dispositivos móviles puede ayudar a detectar y bloquear aplicaciones maliciosas antes de que sean instaladas. Estos software pueden proporcionar protección en tiempo real contra amenazas emergentes.
- 7. Desconfianza ante solicitudes de información personal
Los usuarios deben ser escépticos ante cualquier solicitud de información personal, especialmente si proviene de una fuente no verificada. Nunca se debe proporcionar información confidencial a través de aplicaciones que no se han instalado desde fuentes oficiales.
- 8. Reportar actividades sospechosas
Si sospechás que fuiste víctima de un ataque de phishing, reportalo inmediatamente (acá te compartimos una guía para hacerlo ► click aquí). Esto no solo ayuda a protegerte, sino que también puede prevenir que otros usuarios caigan en la misma trampa.
- 9. Mantener el sistema operativo y aplicaciones actualizados
Actualizar regularmente el sistema operativo y las aplicaciones es esencial para cerrar brechas de seguridad que los atacantes podrían explotar. Las actualizaciones suelen incluir parches de seguridad que protegen contra vulnerabilidades conocidas.
- 10. Cuidado con las aplicaciones que no requieren permisos
Las PWA y WebAPK no suelen requerir permisos especiales para su instalación, lo que puede hacer que sean más difíciles de detectar.
Implementar estas medidas puede ayudar a protegerse de las amenazas emergentes, como esta nueva campaña de phishing, y mantener sus credenciales, datos personales, y los ahorros, por supuesto, a salvo. La concienciación y la precaución son las mejores defensas.