El grupo de investigación ESET Research ha descubierto una nueva campaña de phishing poco común dirigida a usuarios de dispositivos móviles y ha analizado un caso específico dirigido a clientes de un importante banco checo. La novedosa técnica es especialmente destacable por instalar una aplicación de phishing desde un sitio web de terceros sin que el usuario tenga que autorizar la instalación de aplicaciones de terceros. En Android, esto podría dar lugar a la instalación silenciosa de un tipo especial de APK que incluso parece provenir de la tienda Google Play. La amenaza también estaba dirigida a usuarios de iPhone (iOS).
Las webs de phishing dirigidas a usuarios de iOS instruyen a las víctimas para que añadan una Aplicación Web Progresiva (PWA) a sus pantallas de inicio, mientras que en Android, la PWA se instala tras confirmar ventanas emergentes personalizadas en el navegador. En este punto, en ambos sistemas operativos, estas aplicaciones de phishing son prácticamente indistinguibles de las verdaderas apps bancarias a las que imitan.
El peligro de las webs PWAs
Las PWAs son básicamente sitios web empaquetados para parecer aplicaciones independientes, una sensación que se refuerza mediante el uso de mensajes nativos del sistema. Las PWAs, al igual que los sitios web, son multiplataforma, lo que explica cómo estas campañas de phishing con PWAs pueden dirigirse tanto a usuarios de iOS como de Android. Esta novedosa técnica fue detectada en Chequia por analistas de ESET que trabajan en ESET Brand Intelligence Service, el departamento responsable por monitorizar las amenazas dirigidas a la marca de un cliente.
“Para los usuarios de iPhone, esta acción podría romper la falsa sensación de seguridad que ofrece el ‘jardín vallado’ de Apple”, afirma Jakub Osmani, investigador de ESET que analizó la amenaza.
Los investigadores de ESET descubrieron una serie de campañas de phishing dirigidas a usuarios de dispositivos móviles que utilizaban tres mecanismos diferentes para distribuir las URL maliciosas. Estos mecanismos incluyen llamadas automáticas, mensajes SMS y malvertising en redes sociales. La distribución por llamada se realiza mediante una llamada automatizada que advierte al usuario sobre una app bancaria desactualizada y le pide que seleccione una opción en el teclado numérico. Tras pulsar el botón indicado, se envía un enlace de phishing por SMS, según se informó en un tuit. La entrega inicial por SMS se realizó enviando mensajes indiscriminadamente a números de teléfono checos.
El mensaje incluía un enlace de phishing y un texto diseñado para manipular a las víctimas y hacerlas pinchar en el enlace. La campaña maliciosa también se difundió mediante anuncios registrados en plataformas de Meta como Instagram y Facebook. Estos anuncios incluían una llamada a la acción, como una oferta limitada para usuarios que «descarguen una actualización a continuación».
Después de abrir la URL recibida en la primera fase, las víctimas en Android se encuentran con dos campañas distintas. O bien una página de phishing de alta calidad que imita la página oficial de la Google Play Store para la aplicación bancaria objetivo, o bien un sitio web clonado de esa aplicación. A partir de ahí, se pide a las víctimas que instalen una «nueva versión» de la app bancaria.
Una nueva amenaza de phishing
La campaña de phishing y su método son posibles únicamente gracias a la tecnología de las aplicaciones web progresivas (PWA). En resumen, las PWAs son aplicaciones creadas con tecnologías tradicionales de aplicaciones web que pueden ejecutarse en múltiples plataformas y dispositivos. Las WebAPKs pueden considerarse una versión mejorada de las PWAs, ya que el navegador Chrome genera una aplicación nativa de Android a partir de una PWA, es decir, un APK. Estas WebAPKs tienen el aspecto de aplicaciones nativas habituales. Además, la instalación de una WebAPK no muestra ninguna advertencia de «instalación desde una fuente no confiable». La aplicación se instalará incluso si no se permite la instalación desde fuentes de terceros.
Un grupo utilizó un bot de Telegram para registrar toda la información introducida en un chat grupal en la plataforma de mensajería a través de su API oficial. Mientras, otro grupo empleó un servidor tradicional de Mando y Control (C&C) con un panel administrativo. «Basándonos en el hecho de que las campañas usaban dos infraestructuras de C&C diferentes, hemos determinado que dos grupos distintos estaban detrás de las campañas de phishing con PWA/WebAPK dirigidas a bancos checos y otros«, concluye Osmani. La mayoría de los casos conocidos han ocurrido en Chequia, con solo dos aplicaciones de phishing detectadas fuera del país (concretamente en Hungría y Georgia).
Toda la información sensible descubierta por ESET en relación con este asunto fue enviada de forma inmediata a los bancos afectados para su gestión. ESET también ayudó en la eliminación de múltiples dominios de phishing y servidores de C&C.
Para obtener más información técnica sobre esta nueva amenaza de phishing, consulta el artículo «Be careful what you pwish for – Phishing in PWA applications» en WeLiveSecurity.com.