Las compras online aumentaron durante los últimos años, una tendencia que aceleró la pandemia. Para hacer compras online las personas usan cada vez más sus teléfonos en lugar de computadoras, Las compras online aumentaron durante los últimos años, una tendencia que aceleró la pandemia. Para hacer compras online las personas usan cada vez más sus teléfonos en lugar de computadoras.

Buscando la forma de sacar provecho de este escenario ciberdelincuentes han estado engañando a compradores ansiosos para lograr que descarguen aplicaciones maliciosas. En una campaña en curso dirigida a los clientes de ocho bancos de Malasia, actores de amenazas están intentando robar credenciales bancarias utilizando sitios web falsos que se hacen pasar por servicios legítimos, a veces copiando directamente el diseño del sitio original. Estos sitios web usan nombres de dominio similares a los de los servicios oficiales para tener más chances de pasar desapercibidos ante los ojos de las potenciales víctimas.

Esta campaña fue identificada por primera vez a fines de 2021 y en la misma se hicieron pasar por el servicio de limpieza legítimo Maid4u. Distribuida a través de anuncios de Facebook, la campaña busca convencer a las posibles víctimas para que descarguen malware para Android desde un sitio web malicioso. Al momento de la publicación de este artículo la campaña todavía está en curso, con aún más dominios registrados para la distribución después de su descubrimiento. En enero de 2022, MalwareHunterTeam compartió información sobre otros tres sitios web maliciosos y troyanos para Android atribuidos a esta campaña.

Además de eso, los investigadores de ESET encontraron otros cuatro sitios web falsos. Los siete sitios suplantaban la identidad de servicios que solo están disponibles en Malasia: seis de ellos ofrecen servicios de limpieza, como Grabmaid, Maria’s Cleaning, Maid4u, YourMaid, Maideasy y MaidACall, mientras que el séptimo es una tienda de mascotas llamada PetsMore.

Estos falsos sitios web no brindan la opción de comprar directamente a través de ellos. En cambio, incluyen botones para supuestamente descargar aplicaciones de Google Play. Sin embargo, hacer clic en estos botones en realidad no conduce a la tienda oficial Google Play, sino a los servidores controlados por los actores de amenazas. Para tener éxito, este ataque requiere que las víctimas habiliten la opción “Instalar aplicaciones desconocidas” en sus dispositivos, la cual está deshabilitada por defecto. Vale la pena mencionar que cinco de las siete versiones legítimas de estos servicios ni siquiera cuentan con una aplicación disponible en Google Play.

Para aparentar ser legítimas, las aplicaciones piden a los usuarios que inicien sesión una vez que son abiertas; sin embargo, no hay validación de cuenta en el lado del servidor: el software toma cualquier entrada del usuario y siempre la declara correcta. Manteniendo la apariencia de una tienda online real, las aplicaciones maliciosas pretenden ofrecer productos y servicios para comprar utilizando una interfaz similar a la de las tiendas originales. Cuando llega el momento de pagar por la compra, a las víctimas se les presentan dos opciones de pago: pueden pagar con tarjeta de crédito o mediante la transferencia bancaria. Durante nuestra investigación no fue posible elegir la opción de tarjeta de crédito.

Como ya mencionamos, el objetivo de los atacantes es obtener las credenciales bancarias de sus víctimas. Después de elegir la opción de transferencia directa, a las víctimas se les presenta una página de pago falsa de FPX y se les pide que elijan un banco entre ocho opciones de bancos de Malasia y luego que ingresen sus credenciales.  Después de que las desafortunadas víctimas envíen sus credenciales bancarias, reciben un mensaje de error que les informa que el nombre

de usuario o la contraseña que proporcionaron no es válida, Para asegurarse de que los operadores detrás de esta campaña puedan ingresar a las cuentas bancarias de sus víctimas, las aplicaciones de tiendas online falsas también reenvían a los atacantes todos los mensajes SMS que recibe la víctima en caso de que alguno de esos mensajes contenga el código de autenticación en dos pasos 

Descripción del malware

está diseñado para solicitar un solo permiso de usuario, que es leer los mensajes SMS recibidos. Su objetivo es capturar credenciales bancarias y reenviar a los cibercriminales mensajes SMS con el código de verificación en dos pasos que llega al dispositivo comprometido. Al no contar con una funcionalidad para eliminar los mensajes SMS del dispositivo comprometido, el malware no puede ocultar que alguien está tratando de acceder a la cuenta bancaria de la víctima.

Hasta ahora, esta campaña de malware ha estado apuntando únicamente a Malasia: tanto las tiendas online cuya identidad de suplanta, como los bancos apuntados para el robo de credenciales de clientes, son de este país, y los precios de las aplicaciones se muestran en la moneda local, el ringgit malayo.

Consejos

Para protegerse contra este tipo de amenazas, lo primero es asegurarse al momento de comprar que está utilizando sitios web legítimos.

  • Verifique si el sitio web es seguro, es decir, su URL comienza con https://. Algunos navegadores pueden incluso negarse a abrir sitios web que no sean HTTPS y advertir explícitamente a los usuarios o brindar una opción para habilitar el modo solo HTTPS.
  • Tenga cuidado al hacer clic en anuncios y no siga los resultados que ofrecen motores de búsqueda pagos, ya que es posible que no conduzcan al sitio web oficial.
  • Preste atención a la fuente de las aplicaciones que está descargando. Asegúrese de ser redirigido a la tienda Google Play cuando obtenga una aplicación.
  • Utilice una solución de seguridad para dispositivos móviles para detectar sitios web peligrosos y aplicaciones maliciosas.

Distribuida a través de anuncios de Facebook, la campaña busca convencer a las posibles víctimas para que descarguen malware para Android desde un sitio web malicioso. Al momento de la comunicación de ESET la campaña maliciosa todavía estaba en curso, con aún más dominios registrados para la distribución después de su descubrimiento. En enero de 2022, MalwareHunterTeam compartió información sobre otros tres sitios web maliciosos y troyanos para Android atribuidos a esta campaña.

 Además de eso, los investigadores de la empresa de seguridad digital encontraron otros cuatro sitios web falsos. Los siete sitios suplantaban la identidad de servicios que solo están disponibles en Malasia: seis de ellos ofrecen servicios de limpieza, como Grabmaid, Maria’s Cleaning, Maid4u, YourMaid, Maideasy y MaidACall, mientras que el séptimo es una tienda de mascotas llamada PetsMore.

Estos falsos sitios web no brindan la opción de comprar directamente a través de ellos. En cambio, incluyen botones para supuestamente descargar aplicaciones de Google Play. Sin embargo, hacer clic en estos botones en realidad no conduce a la tienda oficial Google Play, sino a los servidores controlados por los actores de amenazas.

Fuente de información:

https://www.welivesecurity.com/la-es/2022/04/06/falsas-tiendas-online-roban-credenciales-bancarias-malware-android/

https://revistaitnow.com/identifican-falsas-tiendas-en-linea-que-roban-credenciales-bancarias/