Los usuarios móviles en la República Checa han sido blanco de una reciente campaña de phishing que utiliza una Aplicación Web Progresiva (PWA) para intentar robar las credenciales de sus cuentas bancarias. Los ataques se han dirigido al banco checo Československá obchodní banka (CSOB), al banco húngaro OTP Bank y al banco georgiano TBC Bank, según ESET, una empresa de ciberseguridad eslovaca.
Los sitios de phishing dirigidos a iOS instruyen a las víctimas a agregar una Aplicación Web Progresiva (PWA) a sus pantallas de inicio, mientras que en Android la PWA se instala después de confirmar pop-ups personalizados en el navegador, según el investigador de seguridad Jakub Osmani. En ambos sistemas operativos, estas aplicaciones de phishing se asemejan en gran medida a las aplicaciones bancarias reales.
Lo interesante de esta táctica es que los usuarios son engañados para instalar una PWA, o incluso WebAPK en algunos casos en Android, desde un sitio de terceros sin tener que permitir específicamente la carga lateral. Un análisis revela que dos actores de amenazas diferentes están detrás de las campañas, utilizando diferentes servidores de comando y control (C2) y la infraestructura backend.
Estos sitios web se distribuyen a través de llamadas de voz automatizadas, mensajes de SMS y publicidad maliciosa en redes sociales, como Facebook e Instagram. Las llamadas de voz advierten a los usuarios sobre una aplicación bancaria obsoleta y les piden que seleccionen una opción numérica, tras lo cual se envía la URL de phishing.
Los usuarios que hacen clic en el enlace ven una página que imita la lista de la tienda Google Play Store para la aplicación bancaria objetivo, o un sitio copiado para la aplicación, lo que finalmente lleva a la «instalación» de la PWA o la aplicación WebAPK bajo el pretexto de una actualización de la aplicación.
La campaña tiene como objetivo final capturar las credenciales bancarias ingresadas en la aplicación y exfiltrarlas a un servidor C2 controlado por el atacante o a un chat de grupo de Telegram. ESET registró la primera instancia de phishing a través de PWA a principios de noviembre de 2023, con olas posteriores detectadas en marzo y mayo de 2024.
Esta revelación se produce en un contexto donde los investigadores de ciberseguridad han descubierto una nueva variante del troyano Android Gigabud que se propaga a través de sitios de phishing que imitan la Google Play Store o sitios que suplantan a varios bancos o entidades gubernamentales. Symantec, propiedad de Broadcom, mencionó que el malware tiene capacidades como la recopilación de datos sobre el dispositivo infectado y la exfiltración de credenciales bancarias.
Además, se ha descubierto Silent Push de 24 paneles de control diferentes para una variedad de troyanos bancarios Android como ERMAC, BlackRock, Hook, Loot y Pegasus (que no debe confundirse con el spyware del mismo nombre de NSO Group) que son operados por un actor de amenazas llamado DukeEugene.
Vía The Hacker News
