Los investigadores de seguridad cibernética advierten sobre «campañas masivas de phishing» que distribuyen cinco programas maliciosos diferentes dirigidos a usuarios bancarios en India.
«Los clientes bancarios objetivo incluyen suscriptores de cuentas de siete bancos, incluidos algunos de los bancos más conocidos ubicados en el país y que podrían afectar a millones de clientes», Trend Micro dijo en un informe publicado esta semana.
Algunos de los bancos objetivo incluyen Axis Bank, ICICI Bank y State Bank of India (SBI), entre otros.
Todas las cadenas de infección tienen un punto de entrada común en el sentido de que se basan en mensajes SMS que contienen un enlace de phishing que insta a las posibles víctimas a ingresar sus datos personales y la información de la tarjeta de crédito para supuestamente obtener un reembolso de impuestos u obtener puntos de recompensa de la tarjeta de crédito.
Los ataques smishing, que ofrecen Elibomi, FakeReward, AxBanker, IcRAT e IcSpy, son solo los últimos de una serie de campañas de malware similares con temas de recompensas que han sido documentadas por Microsoft, Cyble y Laboratorios K7 durante el año pasado.
Elibomi, primero documentado por McAfee en septiembre de 2021, está diseñado para robar datos personales, tomar capturas de pantalla e incluso capturar el código o patrón de la pantalla de bloqueo al abusar de los permisos de la API de accesibilidad de Android, lo que le permite tomar el control de los dispositivos comprometidos.
El malware móvil ha sido objeto de numerosas revisiones, con una nueva variante de Elibomi llamada Drinik observada haciéndose pasar por el Departamento de Impuestos sobre la Renta de la India para apuntar a usuarios de 18 bancos diferentes.
«Elibomi implementa una superposición al agregar una vista a la ventana actual como una técnica de evasión de los usuarios, en lugar de tener una superposición en otras aplicaciones, como las aplicaciones bancarias, para robar las credenciales de los usuarios», dijeron los investigadores.
De manera similar, los troyanos bancarios FakeReward y AxBanker, una vez instalados, solicitan a la víctima que le otorgue permisos para acceder a SMS y notificaciones, que luego se aprovechan para filtrar los mensajes SMS entrantes. AxBanker también muestra páginas falsas para desviar información de tarjetas de crédito.
Las aplicaciones en sí se entregan a través de sitios web de phishing con nombres de dominio similares a los de sus contrapartes legítimas, además de reutilizar los logotipos de la marca para aumentar la probabilidad de un ataque exitoso y engañar al usuario para que descargue la aplicación maliciosa para obtener «puntos de recompensa instantáneos». «
A pesar de la similitud en los datos robados y los temas de phishing, Trend Micro dijo que no hay evidencia concreta que vincule a todas estas familias de malware con un solo actor de amenazas.
«Si bien ningún otro cliente fuera de la India ha sido objetivo de estas familias de malware, las campañas de phishing en el país han aumentado significativamente y se están volviendo cada vez más expertas en evasión de detecciónseñaló Trend Micro.
«Una posible razón de este repunte es el creciente número de nuevos actores de amenazas que ingresan al mercado clandestino de la India, trayendo consigo modelos comerciales rentables e interactuando con otros jugadores maliciosos para aprender, intercambiar ideas y establecer conexiones».