in

Los investigadores advierten a los usuarios iraníes contra las campañas de phishing por SMS generalizadas


Los mensajes SMS de ingeniería social se utilizan para instalar malware en dispositivos Android como parte de una campaña de phishing generalizada que se hace pasar por el gobierno iraní y los servicios de seguridad social para robar datos de tarjetas de crédito y robar fondos de las cuentas bancarias de las víctimas.

A diferencia de otras formas de malware bancario, que son ataques superpuestos diseñados para capturar datos confidenciales sin el conocimiento de la víctima, las aplicaciones maliciosas que descubrió Check Point Research están diseñadas para engañar a la persona objetivo para que obtenga la información de su tarjeta de crédito enviándoles un mensaje SMS de apariencia legítima. que contiene un enlace que, al hacer clic, descargará una aplicación maliciosa en sus dispositivos.

«La aplicación maliciosa no solo recopila los números de la tarjeta de crédito de la víctima, sino que también obtiene acceso a sus SMS de autenticación 2FA y se enciende[s] convertir el dispositivo de la víctima en un bot capaz de distribuir mensajes de texto de phishing similares a otras víctimas potenciales «, dijo el investigador de Check Point, Shmuel Cohen, en un nuevo informe publicado el miércoles.

Copias de seguridad automáticas de GitHub

La firma de ciberseguridad dijo que había descubierto cientos de diferentes aplicaciones de Android de phishing disfrazadas de aplicaciones de seguimiento de dispositivos, bancos iraníes, sitios de citas y compras, intercambios de criptomonedas y servicios afiliados al gobierno, utilizando estas redes de bots como kits de «campañas móviles listas para usar». «en los canales de Telegram por entre $ 50 y $ 150.

La cadena de infección de la botnet smishing comienza con una notificación falsa al poder judicial iraní pidiendo a los usuarios que revisen una supuesta queja contra los destinatarios del mensaje. El enlace a la denuncia lleva a las víctimas a un sitio web que supuestamente parece un sitio web del gobierno que les pide que ingresen su información personal (por ejemplo, nombre, número de teléfono, etc.) y descarguen un archivo APK de Android.

Una vez instalada, la aplicación maliciosa no solo solicita permisos invasivos para realizar actividades que generalmente no están asociadas con dichas aplicaciones gubernamentales, sino que también presenta una pantalla de inicio de sesión falsa que imita a Sana, el sistema de notificación legal electrónica del país, y le indica a la víctima que debe pagar una Tarifa de $ 1 para continuar.

Los usuarios que eligen hacerlo son redirigidos a una página de pago falsa que recopila la información de la tarjeta de crédito que ingresaron, mientras que la aplicación instalada actúa como una puerta trasera sigilosa para robar sigilosamente los códigos de acceso únicos enviados por la compañía de la tarjeta de crédito y facilitar el robo adicional.

Además, el malware tiene una gran cantidad de funciones que le permiten filtrar todos los mensajes SMS recibidos desde un dispositivo a un servidor controlado por un atacante, ocultar su icono en la pantalla de inicio para evitar intentos de eliminar la aplicación para implementar cargas útiles adicionales y adquirir poderes parecidos a los de un gusano para expandir su superficie de ataque y distribuir mensajes smishing personalizados a una lista de números de teléfono recuperados del servidor.

Prevenir filtraciones de datos

«Esto permite a los actores distribuir mensajes de phishing desde los números de teléfono de los usuarios típicos en lugar de desde una ubicación central y no estar limitado a una pequeña cantidad de números de teléfono que podrían bloquearse fácilmente», dijo Cohen. «Esto significa que técnicamente no hay números ‘maliciosos’ que puedan ser bloqueados por la empresa de telecomunicaciones o rastreables hasta el atacante».

Para empeorar las cosas, los atacantes detrás de la operación persiguen una seguridad operativa deficiente (OPSEC), lo que significa que todos los terceros pueden acceder libremente a los números de teléfono, contactos, mensajes SMS y la lista de todos los bots en línea alojados en sus servidores.

«El robo de códigos 2FA dinámicos permite a los actores retirar de forma lenta pero constante cantidades significativas de dinero de las cuentas de las víctimas, incluso en los casos en que las restricciones bancarias solo podrían generar decenas de dólares por cada operación», señaló Cohen. «Junto con la simple adopción del modelo de negocio ‘botnet como servicio’, no debería sorprender que la cantidad de aplicaciones de este tipo para Android y la cantidad de personas que las venden esté creciendo».



What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Planned Parenthood LA revela violación de datos después del ataque de ransomware

Lanzamiento del podcast de investigación de ESET: una mirada entre bastidores a los descubrimientos de ESET