FALSA APLICACIÓN SUPLANTA AL NAVEGADOR CHROME PARA INSTALAR TROYANO BANCARIO EN ANDROID

En el repaso habitual que hacemos de las aplicaciones maliciosas dirigidas a dispositivos Android, seguimos viendo cómo los delincuentes tratan de engañar a los usuarios de este sistema mediante apps fraudulentas que utilizan el nombre de reconocidas empresas, ya sean entidades bancarias o, como en este caso, un falso instalador del navegador Chrome.

Una app sospechosa

A la hora de propagar sus amenazas dirigidas a dispositivos Android, los delincuentes suelen elegir tácticas sobradamente conocidas pero que aún resultan muy efectivas. La mayoría intenta hacer pasar sus aplicaciones maliciosas por otras legítimas, usando para ello el nombre de empresas reconocidas para que los usuarios bajen la guardia. En esta ocasión y gracias al aviso del investigador MalwareHunterTeam, vemos como la app maliciosa se hace pasar por un instalador del conocido navegador de Internet Google Chrome. Este tipo de aplicaciones pueden utilizar enlaces incluidos en mensajes SMS o redirecciones desde sitios webs previamente comprometidos para realizar la descarga en el dispositivo de la víctima.

A la hora de descargar el instalador de esta aplicación maliciosa vemos que los delincuentes están utilizando el CDN, o red de entrega de contenido, de la conocida plataforma Discord. El uso de Discord para alojar malware es una tendencia que se viene observando desde hace tiempo y que utilizan muchos grupos de delincuentes para alojar todo tipo de amenazas porque, al tratarse de un servicio legítimo, es muy probable que no se encuentre en las listas negras usadas para bloquear la descarga de contenido potencialmente peligroso desde direcciones catalogadas como maliciosas.

Funcionamiento del malware

Al descargar y analizar esta app maliciosa, observamos varias cosas interesantes. Lo primero es que la última modificación se realizó apenas unas horas antes de que fuera detectada por primera vez, por lo que estaríamos ante una campaña de propagación de esta amenaza que se encontraría en su fase inicial. También el nombre del fichero, “chromeparaespana.apk”, apunta a que los objetivos de esta campaña son, principalmente, usuarios españoles de Android, por lo que estaríamos, una vez más, ante una campaña dirigida a usuarios de un país en concreto.

En lo que respecta a los permisos que solicita la aplicación, vemos como esta solicita durante su instalación el permiso de accesibilidad. Esto lo hemos visto en numerosas ocasiones anteriores para hacerse con el control del dispositivo, interceptar mensajes SMS con los códigos de verificación enviados por los bancos, enviar mensajes con enlaces maliciosos a otros teléfonos o permitir la superposición de pantallas, entre otras muchas acciones.

Si revisamos todos los permisos obtenidos por esta aplicación, observamos todas las acciones que puede realizar este malware, incluyendo algunas como las comentadas en el párrafo anterior que pueden repercutir muy negativamente en la cuenta bancaria de la víctima, ya que los delincuentes podrían hacer transferencias de dinero desde su cuenta sin mayores problemas.

A la hora de detectar y bloquear estas amenazas para evitar que causen daño, es importante contar con una solución de seguridad en nuestro dispositivo Android. Las soluciones de seguridad de ESET, por ejemplo, detectan el instalador de la app maliciosa como una variante del troyano Android/TrojanDropper.Agent.JIK, que, a su vez, extrae una variante del troyano Android/Spy.Banker.ASS.

Conclusión

A pesar de que los delincuentes están reutilizando técnicas sobradamente conocidas para propagar sus amenazas, estas siguen teniendo éxito, lo que demuestra que los usuarios de Android aún tienen que mejorar su concienciación en seguridad para aprender a reconocerlas, evitando instalar aplicaciones desde sitios no oficiales y analizándolas con soluciones de seguridad para evitar que su dispositivo quede infectado.

Enlace a la noticia: https://blogs.protegerse.com/2022/02/10/falsa-aplicacion-suplanta-al-navegador-chrome-para-instalar-troyano-bancario-android/

Tu cuenta del BBVA no está desactivada, es un phishing

Se ha detectado una campaña de envío de correos electrónicos fraudulentos que suplantan al BBVA, cuyo objetivo es dirigir a la víctima a una página web falsa (phishing) que simula ser la web legítima del banco para robar sus credenciales de acceso e información bancaria. El mensaje utiliza como señuelo que la cuenta está desactiva y que los datos no se han actualizado.

Recursos afectados

Cualquier usuario que sea cliente del BBVA y acceda al enlace facilitado en el del correo electrónico malicioso.

Solución

Si has recibido un correo de estas características, accedido al enlace y facilitado tus datos de acceso (código de usuario y contraseña), contacta lo antes posible con la entidad bancaria para informarles de lo sucedido. Además, te recomendamos modificar la contraseña de todos aquellos servicios en los que se utilice la misma.

Evita ser víctima de fraudes de tipo phishing siguiendo nuestras recomendaciones:

  1. No abras correos de usuarios desconocidos o que no hayas solicitado, elimínalos directamente. No contestes en ningún caso a estos correos.
  2. Ten precaución al seguir enlaces y descargar ficheros adjuntos de correos, aunque sean de contactos conocidos.
  3. Revisa la URL de la página web. Si no hay certificado, o si no corresponde con el sitio al que accedemos, no facilites ningún tipo de información personal: nombre de usuario, contraseña, datos bancarios, etc.
  4. En caso de duda, consulta directamente con la empresa o servicio implicado o con terceras partes de confianza, como son las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) y la Oficina de Seguridad del Internauta (OSI) de INCIBE.

De manera adicional, ten en cuenta siempre los consejos que facilitan los bancos y entidades financieras en su sección de seguridad:

  1. Cierra todas las aplicaciones o programas antes de acceder a su web.
  2. Escribe directamente la URL de la entidad en el navegador, en lugar de llegar a ella a través de enlaces disponibles desde páginas de terceros o en correos electrónicos.
  3. Si prefieres hacer uso de la app del banco para los distintos trámites, asegúrate que descargas la aplicación oficial.

No accedas al servicio de banca online desde dispositivos públicos, no confiables o que estén conectados a redes wifi públicas.

Aprende a identificar correos electrónicos maliciosos para no caer en engaños de este tipo con el siguiente vídeo:

https://www.youtube-nocookie.com/embed/oF0JKaJJFso

Detalles

Los correos detectados en esta campaña maliciosa se identifican con el siguientes asunto: ‘Tu BBVA Online es limitado’. No se descarta que se puedan estar utilizando otros asuntos de características similares. Tampoco se descarta que este mensaje pueda estar llegando a través de SMS fraudulentos (smishing) a dispositivos móviles.

El contenido del correo informa al usuario que su cuenta está desactivada y que investigaciones recientes muestran que sus datos no se han actualizado, para lo que se insta al usuario a pulsar sobre un enlace, tal y como muestra la imagen:

Correo electrónico phishing

Si accede al enlace, el usuario será redirigido a una página que suplanta a la web legítima. En dicha página deberá introducir sus credenciales (usuario y clave de acceso) para poder acceder al supuesto servicio de banca online. Cabe destacar que al introducir la clave de acceso esta se muestra sin posiblididad de ocultarla.

Pagina falsa BBVA

Tras introducir cualquier caracter en el formulario y pulsar sobre el botón ‘Entrar’, el usuario es redirigido a una página en la que se solicita una clave que debe llegar por SMS pero que nunca le llegará al usuario.

Pagina falsa comprobación de código

Llegados a este punto, al haber introducido las credenciales de acceso los ciberdelincuentes estarán en posesión de los datos.

Siempre tened en cuenta seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante
, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

Enlace a la noticia: https://www.osi.es/es/actualidad/avisos/2021/11/tu-cuenta-del-bbva-no-esta-desactivada-es-un-phishing

Alerta de ciberseguridad por ‘mails’ y SMS fraudulentos de CaixaBank, Santander y BBVA

alerta-ciberseguirdad-banco-bbva-santander-caixabank.jpg

Alerta de ciberseguridad por ‘mails’ y SMS fraudulentos de CaixaBank, Santander y BBVA

La Oficina de Seguridad del Internauta, dependiente del Instituto Nacional de Ciberseguridad, ha alertado de varias campañas de envío de correos electrónicos (phishing) y SMS (smishing) fraudulentos que suplantan a entidades bancarias como CaixaBank, Santander y BBVA. El objetivo de estos mensajes es dirigir a la víctima a una página web falsa para robar sus credenciales de acceso a través de diferentes engaños mediante técnicas de ingeniería social.

Los correos electrónicos y mensajes directos detectados solicitan a través de diferentes excusas pulsar sobre un enlace que incluyen en el contenido del mensaje. Dicho enlace redirige a una página falsa que simula ser la página del banco y donde se solicitan las credenciales de acceso

Los correos electrónicos detectados se identifican con asuntos como: ‘Número de cliente: # XXXXX / Actualización’ o ‘Banco Santander’ aunque no se descarta que existan otros correos con asuntos similares y/o que afecten a otras entidades bancarias además de las mencionadas.

Cabe destacar que el contenido de los mensajes suele tener fallos gramaticales. Además es común que intenten apremiar al usuario mediante algún tipo de alerta, para que pulse apresuradamente en el enlace y así no tenga tiempo para pensar y analizar su contenido.

Qué hacer si recibo un mensaje fraudulento

La Oficina de Seguridad del Internauta explica que las personas que hayan recibido un correo o mensaje de estas características y hayan dado algún dato, deben contactar lo antes posible con la entidad bancaria para informarles de lo sucedido. Además, el organismo recomienda modificar la contraseña de todos aquellos servicios en los que se utilice la misma y comenzar a usar contraseñas únicas por servicio.

Cómo evitar ser víctima de fraudes de tipo phishing

En la alerta lanzada, la Oficina de Seguridad del Internauta también ha querido hacer un recordatorio sobre qué se debe hacer para evitar caer en fraudes de este tipo. 

– No abras correos de usuarios desconocidos o que no hayas solicitado, elimínalos directamente. No contestes en ningún caso a estos correos.

– Ten precaución al seguir enlaces y descargar ficheros adjuntos de correos, aunque sean de contactos conocidos. Lo ciberdelincuentes se apoyan en estrategias de ingeniería social para hacerte caer en la trampa

– Revisa la URL de la página web. Si no hay certificado, o si no corresponde con el sitio al que accedemos, no facilites ningún tipo de información personal: nombre de usuario, contraseña, datos bancarios, etc.

– Como en cualquier otro caso de phishing, extrema las precauciones y avisa a tus contactos para que estén alerta de los correos que reciban de origen sospechoso, especialmente, si contienen archivos adjuntos o como en este caso, enlaces externos a páginas de inicio de sesión.

– Cierra todas las aplicaciones o programas antes de acceder a su web.

– Escribe directamente la URL de la entidad en el navegador, en lugar de llegar a ella a través de enlaces disponibles desde páginas de terceros o en correos electrónicos.

– Si prefieres hacer uso de la app del banco para los distintos trámites, asegúrate de que descargas la aplicación oficial.

– No accedas al servicio de banca online desde dispositivos públicos, no confiables o que estén conectados a redes wifi públicas.

Siempre tened en cuenta seguir unas pautas de seguridad como por ejemplo: de que dirección vienen los
correos electrónicos, de donde descargáis según que documentos o aplicaciones y por ultimo y mas importante
, utilizar el sentido común y estar alerta para evitar caer en cualquier ataque.

Enlace a la noticia: https://www.eleconomista.es/actualidad/noticias/11271235/06/21/Alerta-de-ciberseguridad-por-mails-y-SMS-fraudulentos-de-CaixaBank-Santander-y-BBVA.html

Nueva Campaña de Phishing suplantando al BBVA

Se ha detectado una nueva campaña de envío de correos electrónicos fraudulentos que suplantan a la entidad bancaria BBVA, cuyo objetivo es dirigir a la víctima a una página web falsa (phishing) para robar sus credenciales de acceso e información bancaria.

La campaña maliciosa detectada suplantando al BBVA tiene como asunto “Importante: Tenemos que actualizar tus documentos”. En la comunicación se informa al usuario que debido a la ley 03/2019 de prevención de blanqueo de capitales, el usuario debe actualizar su documentación, para ello dispone de 8 días, en caso contrario, la cuenta bancaria asociada no podrá recibir más ingresos.

Los ciberdelincuentes para dar más veracidad a la comunicación han falseado la dirección del remitente haciendo que parezca que proviene de la entidad bancaria, cuando en realidad no es así.

Cabe destacar que en la comunicación se muestran gran cantidad de errores ortográficos, algo que el BBVA o cualquier entidad bancaria no cometería.

Si se selecciona el enlace incluido en el correo, el usuario accederá a un servicio de microbloging (Tumblr) que se ha utilizado como puerta de entrada hacia la página de phishing con el objetivo de que sea más difícil de detectar el fraude.

Si se aceptan las condiciones de Tumblr el usuario llegará a la página web fraudulenta que suplanta al BBVA. Esta página cuenta con un certificado de seguridad, pero este no corresponde con el de la entidad bancaria.

Tras introducir las credenciales de acceso, será redirigido a una sección donde se solicitan datos sobre la tarjeta bancaria, incluyendo el PIN, algo que ninguna entidad bancaria ni servicio web legítimo, requeriría.

En caso de introducir los datos de la tarjeta bancaria y pulsar el botón «Confirmar», el usuario acabará llegando a la página web legítima del banco BBVA.

*Fuente información: INCIBE

Detectada campaña de phishing suplantando al BBVA

Se ha detectado una campaña de correos electrónicos fraudulentos que suplantan a la entidad bancaria BBVA, cuyo objetivo es dirigir a la víctima a una página falsa (phishing) que simula ser la web legítima del banco para robar sus credenciales de acceso.

Si has recibido un correo de estas características, accedido al enlace y facilitado tus datos de sesión así como información personal y bancaria, contacta lo antes posible con el BBVA para informarles de lo sucedido.

Evita ser víctima de fraudes de tipo phishing siguiendo nuestras recomendaciones:

  1. No abras correos de usuarios desconocidos o que no hayas solicitado, elimínalos directamente. No contestes en ningún caso a estos correos.
  2. Ten precaución al seguir enlaces y descargar ficheros adjuntos de correos, aunque sean de contactos conocidos.
  3. Si no hay certificado, o si no corresponde con el sitio al que accedemos, no facilites ningún tipo de información personal: nombre de usuario, contraseña, datos bancarios, etc.
  4. En caso de duda, consulta directamente con la entidad implicada o con terceros de confianza, como son las Fuerzas y Cuerpos de Seguridad del Estado (FCSE) y la Oficina de Seguridad del Internauta (OSI).

De manera adicional, ten en cuenta SIEMPRE los consejos que facilitan los bancos en su sección de seguridad:

  1. Cierra todas las aplicaciones o programas antes de acceder a la web del banco.
  2. Escribe directamente la URL del banco en el navegador, en lugar de llegar a ella a través de enlaces disponibles desde páginas de terceros o en correos electrónicos.
  3. Si prefieres hacer uso de la app del banco para los distintos trámites, asegúrate que descargas la aplicación oficial.
  4. No accedas al servicio de banca online del banco desde dispositivos públicos, no confiables o que estén conectados a redes wifi públicas.

Los correos detectados en esta nueva campaña maliciosa que suplanta a la identidad del BBVA se identifican porque llevan el siguiente asunto: “Banca Online de BBVA”. No se descarta que se puedan estar utilizando otros asuntos de características similares.