Era previsible que un evento tan destacado como el apagón que sufrimos el pasado lunes 28 de abril llamara la atención de los ciberdelincuentes y estos lanzasen alguna campaña para tratar de conseguir alguna víctima. Estas campañas no se han hecho esperar y los compañeros de PhishGuard nos alertan de que se están detectando mensajes SMS siendo enviados a usuarios españoles donde se les insta acceder a un enlace supuestamente relacionado con información importante del reciente apagón.
Si se accede al enlace proporcionado observamos como los delincuentes han preparado una web intentando suplantar al Ministerio de Asuntos Exteriores, Unión Europea y Cooperación, donde se nos informa que, debido al apagón del lunes, se han detectado intentos por parte de “hackers” de aprovechar vulnerabilidades en varias aplicaciones de banca online.
Entre los bancos supuestamente afectados se encontraría el BBVA y, por ese motivo se invita a descargar la “aplicación segura” que se proporciona en esa web fraudulenta. Es más, se indica a los usuarios que no se descargue la app desde Google Play para así tratar de convencerles de que lo hagan desde el enlace proporcionado.
Sabiendo que el apagón fue el lunes, los delincuentes deben haber registrado este dominio fraudulento recientemente, algo que podemos comprobar en la siguiente captura de pantalla, donde vemos que, efectivamente, el dominio se registró en el día de ayer, 29 de abril, con una IP asignada ubicada en California.
Aunque descargar aplicaciones de repositorios que no sean oficiales o de confianza es algo que no se recomienda hacer, la relevancia que ha tenido el apagón del pasado lunes en la sociedad española y que algunos usuarios (especialmente aquellos que tengan una cuenta en el BBVA) se preocupen tras leer el contenido de esa web hace perfectamente posible que más de uno se descargue e instale la aplicación maliciosa en su dispositivo Android.
En caso de que se haya instalado la app maliciosa, al abrirla veremos la siguiente pantalla indicando que se trata de una supuesta verificación de seguridad, tras lo cual, seguidamente se nos mostrará un aviso indicando que la app necesita que le otorguemos permiso para acceder a nuestros mensajes SMS.
El permiso para acceder a nuestros SMS no es el único que requiere la aplicación, pero sí que se trata del más crítico. Esto se debe a que, pudiendo acceder a nuestros SMS, la aplicación puede capturar los códigos de un solo uso que envían las entidades bancarias como método de verificación cuando tratamos de realizar ciertas operaciones relacionadas con pagos o movimientos de dinero.
De hecho, al ver las siguientes pantallas de la aplicación queda clara cual es la finalidad de los creadores de esta app. Primero nos solicitan que introduzcamos los datos de acceso a nuestra cuenta online del BBVA para, seguidamente, pedirnos los datos de nuestra tarjeta. Aquí los delincuentes han cometido un pequeño error y es dejar uno de los campos en portugués, lo que nos podría indicar que esta campaña proviene de algún grupo o cibercriminal de origen brasileño, muy relacionados con este tipo de ciberamenazas que tratan de robar dinero de cuentas bancarias y tarjetas de crédito.
Tras analizar esta nueva campaña es importante recordar algunos puntos para impedir que los delincuentes se salgan con la suya aprovechándose de noticias de impacto recientes como ha sido el apagón general del lunes:
- Acudir solo a fuentes oficiales, ya sean gubernamentales o de empresas privadas, y desconfiar de comunicaciones enviadas por otros medios como SMS o redes sociales que pueden ser usados para difundir todo tipo de estafas, códigos maliciosos o bulos.
- Nunca debemos instalar aplicaciones en nuestro móvil que no provengan de las tiendas de apps oficiales o sitios webs de confianza.
- Revisar siempre los permisos que otorgamos a las aplicaciones que instalamos en nuestro móvil, evitando conceder más de los estrictamente necesarios.
- Contar con una solución de seguridad en nuestro móvil que permita detectar y bloquear las amenazas