Falsas apps bancarias de Google Play exponen datos confidenciales

También puedes leer... DNS Security for Dummies Diez capas de seguridad para contenedores 20 Casos de uso de CASB Los riesgos de Blockchain Diez consejos sobre la gestión de Bots

Las medidas de seguridad no evitan que Google Play se libre de las aplicaciones fraudulentas. El último hallazgo ha sido el de tres apps bancarias que afirman ser capaces de aumentar el límite de crédito asignado a usuarios de tres bancos de la India. En realidad, la finalidad de estas aplicaciones es la de robar la información de las tarjetas de crédito y las credenciales de acceso a la banca online mediante el uso de formularios falsos, información que además es accesible para todo el mundo en texto plano sin cifrar, ya que se aloja en un servidor expuesto a Internet sin ninguna medida de seguridad.

Estas aplicaciones fraudulentas fueron subidas a Google Play durante junio de 2018 y en julio fueron retiradas por Google tras haber sido notificados por investigadores de ESET. Sin embargo, para entonces ya habían sido instaladas por centenares de víctimas. Estas aplicaciones fueron subidas bajo el nombre de tres desarrolladores diferentes, pero se cree que se deben a un único atacante, ya que siguen el mismo procedimiento.

Una vez descargadas, tras su ejecución muestran un formulario solicitando los detalles de la tarjeta de crédito. Si los usuarios rellenan este formulario y pulsan sobre el botón “Enviar” serán redirigidos a otro formulario donde se les preguntará por sus credenciales de banca online. Al pulsar sobre el botón de confirmación de ambos formularios se redirige al usuario a la pantalla final de la aplicación, dándole las gracias por el interés mostrado al rellenar los formularios e informándole de que un “responsable de atención al cliente” se pondrá en contacto en breve, cosa que no sucede.

Los datos introducidos en los formularios fraudulentos son enviados en texto plano al servidor del atacante, que es accesible para cualquiera que conozca el enlace, sin que sea necesario una autenticación previa. “Para las víctimas esto representa un daño mayor, ya que sus datos confidenciales no solo están a disposición de los delincuentes, sino también de cualquiera que se tope con el servidor desprotegido”, señala Josep Albors, director de Investigación y Concienciación de ESET España.