Aplicaciones de banca fraudulentas en Google Play filtran los datos de las tarjetas de crédito robadas

Entre las aplicaciones fraudulentas que se suelen encontrar en la tienda oficial Google Play hay algunas que, desde hace años, están entre las favoritas de los ciberdelincuentes. Además de los juegos (y las aplicaciones para hacer trampas en ellos), servicios de mensajería y otras aplicaciones similares, las falsas aplicaciones bancarias han sido, desde casi el inicio de Android, unas de las más usadas para camuflar intenciones no demasiado honestas.

Nuevas aplicaciones bancarias maliciosas

Recientemente, se han descubierto nuevas aplicaciones bancarias fraudulentas en Google Play que afirman ser capaces de aumentar el límite de crédito asignado a usuarios de tres bancos de la India. En realidad, la finalidad de estas aplicaciones es la de robar la información de las tarjetas de crédito y las credenciales de acceso a la banca online mediante el uso de formularios falsos. Y, lo que es peor, toda esta información es accesible para todo el mundo en texto plano sin cifrar, ya que se aloja en un servidor expuesto a Internet sin ninguna medida de seguridad.

Imagen 1 – Las aplicaciones maliciosas en Google Play

Estas aplicaciones fraudulentas fueron subidas a Google Play durante junio de 2018 y en julio fueron retiradas por Google tras haber sido notificados por investigadores de ESET. Sin embargo, para entonces ya habían sido instaladas por centenares de víctimas. Estas aplicaciones fueron subidas bajo el nombre de tres desarrolladores diferentes y cada una de ellas suplantaba a un banco de la India diferente. No obstante, el origen de las tres aplicaciones puede ser rastreado y asignado a un único atacante.

¿Cómo funcionan estas aplicaciones?

Las tres aplicaciones fraudulentas siguen el mismo procedimiento. Tras su ejecución muestran un formulario solicitando los detalles de la tarjeta de crédito (Imagen 2). Si los usuarios rellenan este formulario y pulsan sobre el botón “Enviar” serán redirigidos a otro formulario donde se les preguntará por sus credenciales de banca online (Imagen 3). Curiosamente, a pesar de que todos los campos están marcados como “obligatorios”(*), ambos formularios pueden ser enviados vacíos, lo que es un claro indicador de que algo no funciona como debería.

Imagen 2 – Formularios fraudulentos para recopilar datos de tarjetas de crédito

Imagen 3 – Formularios fraudulentos para el robo de credenciales de banca online

Al pulsar sobre el botón de confirmación de ambos formularios (habiéndolos rellenado o no) se redirige al usuario a la pantalla final de la aplicación, dándole las gracias por el interés mostrado al rellenar los formularios e informándole de que un “responsable de atención al cliente” se pondrá en contacto en breve (Imagen 4). No hace falta decir que nadie se pone en contacto con las víctimas y que las aplicaciones no tienen más funcionalidades aparte de las que se acaban de mostrar.

Imagen 4 – Pantalla final mostrada por las aplicaciones maliciosas

Mientras tanto, los datos introducidos en los formularios fraudulentos son enviados en texto plano al servidor del atacante. Este servidor que almacena todos los datos robados es accesible para cualquiera que conozca el enlace, sin que sea necesario una autenticación previa. Para las víctimas esto representa un daño mayor, ya que sus datos confidenciales no solo están a disposición de los delincuentes, sino también de cualquiera que se tope con el servidor desprotegido.

Imagen 5 – Datos bancarios robados y almacenados en texto plano en el servidor del atacante

Hace poco, el investigador de ESET Lukas Stefanko avisaba sobre otra aplicación maliciosa que mostraba información robada a cualquiera que supiera donde buscar, siendo una app fraudulenta que se hacía pasar por MyEtherWallet y que exponía las claves privadas usadas para acceder a las carteras donde almacena las criptomonedas de sus víctimas. Este tipo de descubrimientos demuestra la necesidad de tener especial cuidado a la hora de descargar aplicaciones relacionadas con las finanzas, ya sea dinero tradicional o criptodivisas.

Cómo permanecer seguro ante estas amenazas

Si se ha instalado y usado alguna de estas aplicaciones maliciosas se recomienda desinstalarlas inmediatamente, así como también revisar la cuenta bancaria en búsqueda de actividad sospechosa, cambiar el código PIN de la tarjeta de crédito y la contraseña de acceso a la banca online.

De la misma forma, para evitar ser víctima de aplicaciones de phishing se recomienda:

  • Confiar únicamente en aquellas aplicaciones de banca online que se enlacen desde la web oficial del banco que usemos.
  • Nunca se debe introducir la información privada relacionada con la banca online en ningún formulario si no estamos seguros de su seguridad y legitimidad.
  • Se debe prestar atención al número de descargas, valoración de la aplicación y, sobre todo, a los comentarios de los usuarios a la hora de descargar apps desde Google Play.
  • Siempre debemos tener actualizados nuestros dispositivos Android y utilizar una solución de seguridad de confianza como los productos de ESET, capaces de detectar estas aplicaciones maliciosas como Android/Spy.Banker.AHR.
Aplicaciones bancarias legítimas como objetivo
Nombre de la aplicación Nombre del paquete
iMobile by ICICI Bank com.csam.icici.bank.imobile
RBL MoBANK com.rblbank.mobank
HDFC Bank MobileBanking (New) com.hdfc.retail.banking

 

Indicadores de compromiso

De momento, no se van a publicar indicadores de compromiso específicos más allá de los identificadores de las aplicaciones para así evitar exponer aún más la información de las víctimas.

 

Google prohíbe las aplicaciones con funcionalidades de minería de criptomonedas de su tienda oficial