Apps bancarias falsas en Google Play filtraban datos de tarjetas de crédito

Investigadores de ESET identificaron un nuevo grupo de aplicaciones bancarias falsas publicadas en la tienda oficial de Google Play. Las apps se subieron a la tienda en junio y julio de 2018 y fueron instaladas por cientos de usuarios antes de que se dieran de baja una vez que la empresa informó a Google.

Las apps se subieron bajo el nombre de tres desarrolladores diferentes, cada uno haciéndose pasar un banco de la India diferente. Sin embargo, las tres aplicaciones están relacionadas a un atacante.

Las mismas ofrecían incrementar el límite de crédito de la tarjeta para usuarios de los tres bancos, las aplicaciones maliciosas solicitan detalles de la tarjeta de crédito y credenciales de acceso a los servicios bancarios a través de Internet utilizando métodos fraudulentos. Finalmente, los datos robados de las víctimas eran filtrados en Internet y en texto plano, a través de un servidor expuesto.

Las tres aplicaciones siguen el mismo procedimiento, una vez que se ejecutan se despliega un formulario en el que se solicita los detalles de la tarjeta de crédito. Si los usuarios completan el formulario y seleccionan “enviar”, son derivados a un formulario que solicita las credenciales de acceso al servicio bancario online. Si bien todos los campos del formulario están señalados como obligatorios, ambos formularios pueden enviarse vacíos, indicando que se está frente a algo sospechoso.

A continuación, las víctimas del engaño son dirigidos a una tercera pantalla en la cual se agradece al usuario por su interés y se le informa que un “ejecutivo de atención al cliente” se comunicará a la brevedad. La realidad es que nadie se comunicará con la víctima y a partir de aquí la aplicación no ofrece ningún tipo de funcionalidad.

Mientras tanto, los datos ingresados a través de los formularios falsos son enviados al servidor del atacante en texto plano. El servidor que almacena los datos es accesible para cualquiera que tenga el enlace y sin necesidad de autenticarse. Para la víctima, esto aumenta considerablemente el potencial del daño, ya que los datos robados no solo están a disposición del atacante, sino que potencialmente están en manos de cualquiera que tenga acceso al enlace.