ESET alerta sobre una nueva amenaza en la que cibercriminales suplantan a un banco en redes sociales y, mediante ingeniería social, inducen la instalación de una app legítima para acceder a datos y fondos de sus víctimas.
El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, identificó una nueva campaña maliciosa suplantando a una reconocida institución bancaria de la Argentina con el objetivo de robar dinero e información personal de sus víctimas.
El engaño comienza con un primer contacto mediante una página de Facebook, actualmente dada de baja, que utilizaba imágenes haciendo referencia al banco y prometía descuentos en varios servicios para adultos mayores. Para reclamarlos, supuestamente, la víctima debería comunicarse con un número telefónico mediante una llamada de WhatsApp.
Esta campaña, cuenta el equipo de ESET, se apoya fuertemente en técnicas de ingeniería social, que consisten en manipular psicológicamente a las víctimas para que realicen acciones que comprometan su seguridad. En este caso, el atacante busca convencer a la víctima de su legitimidad como empleado bancario y tienta a la víctima con un supuesto descuento en servicios, si descargaba una aplicación.
Una vez terminada la llamada, el atacante envía a la víctima el enlace para la descarga de la primera aplicación, mediante la tienda oficial de Android. Luego de enviar el enlace para la instalación de la aplicación y el código de confirmación, la víctima se conecta remotamente con el atacante, quien con esto puede ver la pantalla, interactuar con las aplicaciones, transferir archivos y realizar acciones en nombre de la víctima.
Esta aplicación, llamada Supremo, permite la administración y control de dispositivos móviles de forma remota. Estas funcionalidades generalmente están relacionadas con dar soporte o gestionar un equipo propio a distancia, pero también pueden ser utilizadas con fines maliciosos por cibercriminales para realizar acciones en los equipos de sus víctimas.
“Si bien inducir a las víctimas a instalar una aplicación de control remoto no es una técnica nueva, sí es importante destacar que resulta novedoso en el contexto de las estafas bancarias y suplantaciones, y que posiblemente responda a las campañas de concientización que están haciendo sobre no compartir información sensible: Si el atacante no puede hacer que sus víctimas les entreguen las credenciales, la “innovación” es controlar el dispositivo donde tiene la aplicación del banco”, comenta Martina López, investigadora de ESET Latinoamérica.
En la página de la aplicación en Google Play se pueden leer numerosos comentarios de usuarios de argentina que reportan haber sido estafados con variadas excusas, desde al menos mayo de 2024. Entre las empresas cuya identidad ha sido suplantada por campañas que instan a sus víctimas a instalar Supremo ESET identificó a Netflix, Starlink, Mercadolibre, YPF, entre otros. Además, en algunos casos las víctimas alegan que han sufrido el robo de dinero o tomas de préstamos bancarios mediante el control de sus celulares por los estafadores.
Para evitar caer en este tipo de estafas, desde ESET comparten unos simples consejos que nos evitarán dolores de cabeza:
- Desconfiar de cualquier anuncio o perfil de redes sociales no verificado que menciona ser de una entidad bancaria, ecommerce, gobierno, o cualquier otra entidad de autoridad o marca reconocida. Comunicarse únicamente por canales autorizados y verificados.
- Evitar clics o mensajes desesperados al ver regalos, grandes descuentos o promociones. Los atacantes utilizan estas excusas para generar en sus víctimas una gran emoción, así como cuando alertan de un problema en alguna cuenta.
- No descargar archivos o aplicaciones por orden de desconocidos, ni aquellas que no estén verificadas como pertenecientes a bancos o marcas en las que queramos operar.
- Contar con un software antivirus instalado y actualizado en el dispositivo móvil para evitar infecciones.
- Mantener actualizados dispositivos y aplicaciones.
- Modificar las contraseñas afectadas y monitorear cualquier movimiento sospechoso de las cuentas, en caso de sufrir alguna intrusión o infección.
