Un investigador de seguridad descubrió un ataque de phishing destinado a engañar a los usuarios de iPhone para que instalen lo que supuestamente es una actualización de su aplicación bancaria.
El ataque funciona a pesar de las protecciones de iOS porque lo que en realidad se está “instalando” es una aplicación web progresiva, que no implica investigación ni advertencias de la App Store…
Aplicaciones web progresivas (PWA)
Las aplicaciones web progresivas son esencialmente sitios web que se ven y actúan como aplicaciones. De hecho, cuando el iPhone se lanzó por primera vez en 2007, las PWA eran las solo forma para que un desarrollador externo inicie una aplicación.
El cofundador de Apple, Steve Jobs, dijo lo siguiente sobre ellos en ese momento:
El motor Safari completo está dentro del iPhone. Y así, puedes escribir increíbles aplicaciones Web 2.0 y Ajax que se ven y se comportan exactamente como las aplicaciones del iPhone. Y estas aplicaciones pueden integrarse perfectamente con los servicios del iPhone. Pueden hacer una llamada, enviar un correo electrónico y buscar una ubicación en Google Maps.
¿Y adivina qué? ¡No necesitas ningún SDK! Tienes todo lo que necesitas si sabes cómo escribir aplicaciones utilizando los estándares web más modernos para escribir aplicaciones increíbles para el iPhone actual. Desarrolladores, creemos que tenemos una historia muy dulce para ustedes. Puedes comenzar a crear tus aplicaciones para iPhone hoy.
Apple pronto se dio cuenta de que las aplicaciones nativas de iPhone ofrecerían una mejor experiencia y la App Store nació un año después, pero aún puedes usar PWA hoy.
Ataques de phishing con actualizaciones falsas de aplicaciones bancarias
La empresa de ciberseguridad ESET descubrió que se utilizan PWA para apuntar tanto a usuarios de Android como de iPhone. Los ataques se realizan mediante diversos métodos, incluidos mensajes de texto, anuncios en las redes sociales y llamadas de voz.
La entrega de la llamada de voz se realiza a través de una llamada automatizada que advierte al usuario sobre una aplicación bancaria desactualizada y le pide que seleccione una opción en el teclado numérico. Después de presionar el botón correcto, se envía una URL de phishing vía SMS (…)
Los sitios web de phishing dirigidos a iOS indican a las víctimas que agreguen una aplicación web progresiva (PWA) a sus pantallas de inicio, mientras que en Android la PWA se instala después de confirmar las ventanas emergentes personalizadas en el navegador. En este punto, en ambos sistemas operativos, estas aplicaciones de phishing son en gran medida indistinguibles de las aplicaciones bancarias reales que imitan.
Una vez que el usuario inicia sesión en la aplicación falsa, ésta captura sus datos de inicio de sesión y se los envía al atacante.
Los propietarios de iPhone pueden correr un riesgo particular, ya que muchos asumen que sus dispositivos están a salvo del malware.
Para los usuarios de iOS, una ventana emergente animada indica a las víctimas cómo agregar la PWA de phishing a su pantalla de inicio. La ventana emergente copia el aspecto de las indicaciones nativas de iOS. Al final, ni siquiera a los usuarios de iOS se les advierte sobre la posibilidad de agregar una aplicación potencialmente dañina a su teléfono.
Los ejemplos en vivo vistos hasta ahora han estado dirigidos a usuarios checos y húngaros, pero las mismas técnicas podrían usarse fácilmente a nivel mundial.
Cómo protegerte
Trate siempre con sospecha cualquier comunicación reclamada por su banco, ya sea un mensaje de texto, un correo electrónico o una llamada de voz. El enfoque más seguro es siempre colgar y llamar a su banco a un número genuino conocido (como el impreso en su extracto bancario o tarjeta de pago) para verificar cualquier información que le hayan proporcionado antes de actuar en consecuencia.
Cualquier actualización genuina de una aplicación bancaria estará disponible visitando la App Store.
Vía Macworld. Imagen: composición de 9to5Mac usando una foto de Anton en Unsplash.
