Los actores de amenazas han estado distribuyendo aplicaciones maliciosas bajo la apariencia de aplicaciones de compras aparentemente inofensivas para apuntar a clientes de ocho bancos de Malasia desde al menos noviembre de 2021.
Los ataques involucraron la creación de sitios web fraudulentos pero de apariencia legítima para engañar a los usuarios para que descargaran las aplicaciones, dijo la firma de ciberseguridad eslovaca ESET en un informe compartido con The Hacker News.
Los sitios web imitadores se hicieron pasar por servicios de limpieza como Maid4u, Grabmaid, Maria’s Cleaning, Maid4u, YourMaid, Maideasy y MaidACall y una tienda de mascotas llamada PetsMore, todos los cuales están dirigidos a usuarios en Malasia.
«Los actores de amenazas usan estas aplicaciones de tiendas electrónicas falsas para robar credenciales bancarias», ESET dijo. «Las aplicaciones también reenvían todos los mensajes SMS recibidos por la víctima a los operadores de malware en caso de que contengan códigos 2FA enviados por el banco».
Los bancos objetivo incluyen Maybank, Affin Bank, Public Bank Berhad, CIMB Bank, BSN, RHB, Bank Islam Malaysia y Hong Leong Bank.
Los sitios web, distribuidos a través de anuncios de Facebook, instan a los visitantes a descargar lo que los atacantes afirman que son aplicaciones de Android disponibles en Google Play Store, pero en realidad las redireccionan a servidores falsos bajo su control.
Vale la pena señalar aquí que el ataque depende del requisito previo de que las posibles víctimas habiliten la opción no predeterminada «Instalar aplicaciones desconocidas» en sus dispositivos para que tenga éxito. Además, cinco de los servicios abusados ni siquiera tienen una aplicación en Google Play.
Una vez lanzadas, las aplicaciones solicitan a los usuarios que inicien sesión en sus cuentas, lo que les permite realizar pedidos falsos, luego de lo cual se presentan opciones para completar el proceso de pago al incluir una transferencia de fondos desde sus cuentas bancarias.
«Después de elegir la opción de transferencia directa, las víctimas se presentan [with] una página de pago FPX falsa y se les pidió que eligieran su banco entre los ocho bancos malasios provistos, y luego ingresaron sus credenciales», dijo el investigador de malware de ESET Lukáš Štefanko.
El objetivo final de la campaña es robar las credenciales bancarias ingresadas por los usuarios y filtrarlas al servidor controlado por el atacante, mientras se muestra un mensaje de error que indica que la ID de usuario o la contraseña ingresadas no son válidas.
Además, las aplicaciones falsas están diseñadas para acceder y transmitir todos los mensajes SMS recibidos por los usuarios al servidor remoto en caso de que las cuentas bancarias estén protegidas por autenticación de dos factores.
«Si bien la campaña se dirige exclusivamente a Malasia por ahora, podría expandirse a otros países y bancos más adelante», dijo Štefanko. «En este momento, los atacantes buscan credenciales bancarias, pero también pueden permitir el robo de información de tarjetas de crédito en el futuro».