"El ataque comenzó con las víctimas recibiendo mensajes de SMS que sugerían la necesidad de actualizar una aplicación de banca móvil", dijeron investigadores del CSIRT KNF en un análisis publicado la semana pasada. "El enlace contenido en el mensaje dirigía a un sitio que utilizaba la tecnología WebAPK para instalar una aplicación maliciosa en el dispositivo de la víctima".
La aplicación se hace pasar por PKO Bank Polski, una compañía multinacional de servicios bancarios y financieros con sede en Varsovia. Los detalles de la campaña fueron compartidos por primera vez por la firma de ciberseguridad polaca RIFFSEC.
WebAPK permite a los usuarios instalar aplicaciones web progresivas (PWAs) en la pantalla de inicio de sus dispositivos Android sin necesidad de utilizar la Google Play Store.
"Cuando un usuario instala una PWA desde Google Chrome y se utiliza WebAPK, el servidor de creación "acuña" (empaqueta) y firma un APK para la PWA", explica Google en su documentación.
"Ese proceso lleva tiempo, pero cuando el APK está listo, el navegador instala silenciosamente la aplicación en el dispositivo del usuario. Debido a que proveedores de confianza (Play Services o Samsung) han firmado el APK, el teléfono lo instala sin desactivar la seguridad, como lo haría con cualquier aplicación proveniente de la tienda. No es necesario instalar la aplicación de manera lateral".
Aplicaciones Maliciosas
Una vez instalada, la aplicación bancaria falsa ("org.chromium.webapk.a798467883c056fed_v2") insta a los usuarios a ingresar sus credenciales y tokens de autenticación de dos factores (2FA), lo que resulta en su robo efectivo.
"Uno de los desafíos para contrarrestar este tipo de ataques es que las aplicaciones WebAPK generan diferentes nombres de paquetes y sumas de verificación en cada dispositivo", dijo CSIRT KNF. "Son construidas dinámicamente por el motor Chrome, lo que dificulta el uso de estos datos como Indicadores de Compromiso (IoC)".
Para contrarrestar estas amenazas, se recomienda bloquear sitios web que utilicen el mecanismo WebAPK para llevar a cabo ataques de phishing.
Este desarrollo se produce después de que Resecurity revelara que los ciberdelincuentes están aprovechando cada vez más herramientas especializadas de falsificación de dispositivos para Android, que se comercializan en la web oscura con el fin de suplantar a titulares de cuentas comprometidas y evadir los controles antifraude.
Las herramientas antidetección, como Enclave Service y MacFly, son capaces de falsificar las huellas digitales de dispositivos móviles y otros parámetros de software y red que son analizados por sistemas antifraude, y los actores de amenazas también utilizan controles antifraude débiles para llevar a cabo transacciones no autorizadas a través de teléfonos inteligentes utilizando malware bancario como TimpDoor y Clientor.
"Los ciberdelincuentes utilizan estas herramientas para acceder a cuentas comprometidas e impersonar a clientes legítimos, explotando archivos de cookies robados, suplantando identificadores de dispositivos hipergranulares y utilizando las configuraciones únicas de red de las víctimas de fraude", dijo la empresa de ciberseguridad.
%2014.04.55.png)
