Los atacantes utilizan cualquier evento destacado, como el apagón sufrido recientemente, para lanzar alguna campaña con la que hacerse con datos de interés de las personas. Sin ir más lejos, esta campaña no se ha hecho esperar, y desde PhisGuard, han alertado que se ha detectado mensajes SMS enviados a usuarios españoles donde se le insta a acceder a un enlace con información interesante del apagón.
Una vez dentro, aparece un web similar a la del Ministerio de Asuntos Exteriores, Unión Europea y Cooperación, donde se informa que a raíz del apagón, se ha detectado intentos por parte de hackers de aprovechar ciertas vulnerabilidades en varias aplicaciones de banca online.
Entre los bancos supuestamente afectados se encontraría el BBVA y, por ese motivo se invita a descargar la “aplicación segura” que se proporciona en esa web fraudulenta. Es más, se indica a los usuarios que no se descargue la app desde Google Play para así tratar de convencerles de que lo hagan desde el enlace proporcionado.
Sabiendo que el apagón fue el lunes, los delincuentes deben haber registrado este dominio fraudulento recientemente, algo que podemos comprobar en la siguiente captura de pantalla, donde vemos que, efectivamente, el dominio se registró en el día de ayer, 29 de abril, con una IP asignada ubicada en California.
Aunque descargar aplicaciones de repositorios que no sean oficiales o de confianza es algo que no se recomienda hacer, la relevancia que ha tenido el apagón del pasado lunes en la sociedad española y que algunos usuarios (especialmente aquellos que tengan una cuenta en el BBVA) se preocupen tras leer el contenido de esa web hace perfectamente posible que más de uno se descargue e instale la aplicación maliciosa en su dispositivo Android.
En caso de que se haya instalado la app maliciosa, al abrirla veremos la siguiente pantalla indicando que se trata de una supuesta verificación de seguridad, tras lo cual, seguidamente se nos mostrará un aviso indicando que la app necesita que le otorguemos permiso para acceder a nuestros mensajes SMS.
El permiso para acceder a nuestros SMS no es el único que requiere la aplicación, pero sí que se trata del más crítico. Esto se debe a que, pudiendo acceder a nuestros SMS, la aplicación puede capturar los códigos de un solo uso que envían las entidades bancarias como método de verificación cuando tratamos de realizar ciertas operaciones relacionadas con pagos o movimientos de dinero.
De hecho, al ver las siguientes pantallas de la aplicación queda clara cual es la finalidad de los creadores de esta app. Primero nos solicitan que introduzcamos los datos de acceso a nuestra cuenta online del BBVA para, seguidamente, pedirnos los datos de nuestra tarjeta. Aquí los delincuentes han cometido un pequeño error y es dejar uno de los campos en portugués, lo que nos podría indicar que esta campaña proviene de algún grupo o cibercriminal de origen brasileño, muy relacionados con este tipo de ciberamenazas que tratan de robar dinero de cuentas bancarias y tarjetas de crédito.
Tras analizar esta nueva campaña es importante recordar algunos puntos para impedir que los delincuentes se salgan con la suya aprovechándose de noticias de impacto recientes como ha sido el apagón general del lunes:
- Acudir solo a fuentes oficiales, ya sean gubernamentales o de empresas privadas, y desconfiar de comunicaciones enviadas por otros medios como SMS o redes sociales que pueden ser usados para difundir todo tipo de estafas, códigos maliciosos o bulos.
- Nunca debemos instalar aplicaciones en nuestro móvil que no provengan de las tiendas de apps oficiales o sitios webs de confianza.
- Revisar siempre los permisos que otorgamos a las aplicaciones que instalamos en nuestro móvil, evitando conceder más de los estrictamente necesarios.
- Contar con una solución de seguridad en nuestro móvil que permita detectar y bloquear las amenazas
