Falsas apps financieras en Google Play roban datos bancarios de usuarios

Falsas apps financieras en Google Play roban datos bancarios de usuarios

Nuevamente, cibercriminales encontraron la forma de infiltrarse en la tienda oficial Google Play. En esta oportunidad, ofreciendo falsas apps que suplantaban la identidad de seis bancos internacionales y Exchange de criptomonedas para robar datos personales.

Nuevamente, cibercriminales encontraron la forma de infiltrarse en la tienda oficial Google Play. En esta oportunidad, ofreciendo falsas apps que suplantaban la identidad de seis bancos internacionales y Exchange de criptomonedas para robar datos personales.

Otro grupo de falsas aplicaciones financieras encontraron la forma de ingresar a la tienda official de Google Play. En esta oportunidad, las aplicaciones han suplantado la identidad de seis bancos de Nueva Zelanda, Australia, Reino Unido, Suiza y Polonia, además del Exchange de criptomonedas austríaco, Bitpanda. Mediante formularios falsos, las aplicaciones maliciosas buscan robar detalles de la tarjeta de crédito y/o claves de acceso a las cuentas de las entidades financieras legítimas que intentan suplantar.

Figura 1 – Seis de las aplicaciones maliciosas descubiertas en Google Play.

Las versiones falsas de estas apps fueron subidas a Google Play en junio de 2018 y fueron instaladas más de mil veces antes de que sean dadas de baja por Google. Asimismo, fueron subidas bajo nombres de desarrolladores distintos, cada una haciéndose pasar por uno diferente. Sin embargo, similitudes en el código sugieren que las apps forman parte del trabajo de un solo atacante. Por otra parte, las apps utilizan ofuscación, lo cual podría haber contribuido a que lograran ingresar a la tienda sin ser detectadas.

El único propósito de estas apps maliciosas es obtener información sensible de usuarios desprevenidos. Algunas se aprovechan de la ausencia de una app oficial del servicio legítimo (como Bitpanda), mientras que otras intentan engañar a los usuarios haciéndose pasar por aplicaciones oficiales que sí existen. La lista completa de servicios y bancos cuya identidad se intentó suplantar puede verse al final del artículo.

¿Cómo operan las apps?

Si bien las aplicaciones no comparten la misma forma de proceder, una vez que son ejecutadas todas despliegan un formulario en el que solicitan los datos de las tarjetas de crédito y/o credenciales de acceso al sistema de banca online del banco cuya identidad se intenta suplantar (se pueden ver ejemplos en la Figura 2). Si los usuarios completan estos formularios, los datos suministrados son enviados al servidor del atacante. Luego, las apps muestran un mensaje en el que felicitan o agradecen al usuario (ejemplo de este mensaje en la Figura 3), y es aquí donde su funcionalidad termina.

Figura 2 – Falsos formularios roban los datos de las tarjetas de crédito y las credenciales de acceso a los sistemas de banca online.

Figura 3 – Imagen que se despliega al final en una de las aplicaciones maliciosas.

¿Cómo estar protegido?

Si sospechas que has instalado y utilizado una de estas apps maliciosas, te recomendamos que la desinstales de forma inmediata.

Además, cambia la clave pin de tu tarjeta, así como también la contraseña con la que accedes a tu sistema de banca online y revisa que no hubo ninguna actividad sospechosa. En caso de detectar transacciones inusuales contáctate con tu banco. Se recomienda a los usuarios del Exchange de criptomonedas Bitpanda que creen haber instalado la falsa app bancaria que revisen sus cuentas por cualquier actividad sospechosa y que también modifiquen sus claves de acceso.

Para evitar ser víctima de phishing y de otras falsas apps bancarias, te recomendamos que:

  • Solo confíes en apps bancarias o financieras si están enlazadas desde el sitio web oficial de tu banco o del servicio financiero;
  • Solo descarga apps de Google Play. Si bien esto no asegura que la app no sea maliciosa, este tipo de aplicaciones falsas son más comunes en tiendas de terceras partes y raramente son eliminadas una vez que se descubren, a diferencia de lo que sucede en Google Play, donde una vez se detecta un comportamiento malintencionado son dadas de baja;
  • Presta atención al número de descargas, puntaje y comentarios que se realizan sobre la app en Google Play;
  • Solo ingresa tu información personal en formularios online si estás seguro de su legitimidad;
  • Mantén tu dispositivo Android actualizado y utiliza una solución de seguridad confiable. Los productos de ESET detectan y bloquean estas apps maliciosas como Android/Spy.Banker.AIF, Android/Spy.Banker.AIE y Android/Spy.Banker.AIP.

Bancos y servicios afectados

Australia y Nueva Zelanda

Commonwealth Bank of Australia (CommBank)
The Australia and New Zealand Banking Group Limited (ANZ)
ASB Bank

Reino Unido
TSB Bank

Suiza
PostFinance

Polonia
Bank Zachodni WBK (renamed to Santander Bank Polska SA in September 2018)

Austria
Bitpanda

Indicadores de compromiso (IoCs)

Package nameHashDetection
cw.cwnbm.mobile651A3734103472297A2C65C81757FB5820AD2AB7Android/Spy.Banker.AIF
au.money.goDE09F03C401141BEB05F229515ABB64811DDB853Android/Spy.Banker.AIF
asb.ezy.payB6D70983C28B8A0059B454065D599B4E18E8097CAndroid/Spy.Banker.AIF
uk.mobile.tsb91692607FB529218ADF00F256D5D1862DF90DAAFAndroid/Spy.Banker.AIF
ch.post.financeFE1B2799B65D36F19484930FAF0DA17A0DBE9868Android/Spy.Banker.AIF
pl.mblzchC43E7A28E1B807225F1E188C6DA51D24DCC54F5FAndroid/Spy.Banker.AIE
www.bit.panda7D80158C8C893E46DC15E6D92ED2FECFDB12BF9FAndroid/Spy.Banker.AIP

Discusión