El engaño comenzaba con un primer contacto mediante una página de Facebook, actualmente dada de baja, que utilizaba imágenes haciendo referencia al banco y prometía descuentos en varios servicios para adultos mayores. Para reclamarlos, supuestamente, la víctima debería comunicarse con un número telefónico mediante una llamada de WhatsApp.

Esta campaña fraudulenta, explica el equipo de ESET, se apoyó fuertemente en técnicas de ingeniería social, que consisten en manipular psicológicamente a las víctimas para que realicen acciones que comprometan su seguridad. En este caso, el atacante buscó convencer a la víctima de su legitimidad como empleado bancario e incitó, tentó, al usuario con un supuesto descuento en servicios, si descargaba una aplicación.

Mensajes intercambiados con el atacante luego de la llamada

Una vez terminada la llamada, el atacante le enviaba a la víctima el enlace para la descarga de la primera aplicación, mediante la tienda oficial de Android. Luego de enviar el enlace para la instalación de la aplicación y el código de confirmación, la víctima se conecta remotamente con el atacante, quien con esto puede ver la pantalla, interactuar con las aplicaciones, transferir archivos y realizar acciones en nombre de esa persona.

Esta aplicación, llamada Supremo, la cual es legítima, permite la administración y control de dispositivos móviles de forma remota. Estas funcionalidades generalmente están relacionadas con dar soporte o gestionar un equipo propio a distancia, pero también pueden ser utilizadas con fines maliciosos por cibercriminales para realizar acciones en los equipos de sus víctimas.

Numerosos usuarios en Argentina reportan haber sido estafados con variadas excusas

“Si bien inducir a las víctimas a instalar una aplicación de control remoto no es una técnica nueva, sí es importante destacar que resulta novedoso en el contexto de las estafas bancarias y suplantaciones de identidad; y que posiblemente responda a las campañas de concientización que están haciendo sobre no compartir información sensible: Si el atacante no puede hacer que sus víctimas les entreguen las credenciales, la ´innovación´ es controlar el dispositivo donde tiene la aplicación del banco”, comenta Martina Lopez, Investigadora de ESET Latinoamérica.

En la página de la aplicación en Google Play se pueden leer numerosos mensajes y notas de usuarios en Argentina que reportan haber sido estafados con variadas excusas, desde al menos mayo de 2024. Entre las empresas cuya identidad ha sido suplantada por campañas que instan a sus víctimas a instalar Supremo, ESET identificó a Netflix, Starlink, Mercado Libre, y YPF. Además, en algunos casos las víctimas alegan que han sufrido el robo de dinero o tomas de préstamos bancarios mediante el control de sus celulares por parte de los estafadores.

Algunas de las reseñas dando cuenta de varias campañas en el año

Para evitar caer en este tipo de estafas, desde ESET comparten unos consejos nada complicados que nos evitarán preocupaciones y dolores de cabeza:

• Desconfiar de cualquier anuncio o perfil de redes sociales no verificado que mencione ser de una entidad bancaria, ecommerce, gobierno, o cualquier otra entidad de autoridad o marca reconocida. Comunicarse exclusivamente, únicamente, por canales autorizados y verificados.
• Evitar clics o mensajes y respuestas desesperadas al ver regalos, grandes descuentos o promociones. Los atacantes utilizan estas excusas para generar en sus víctimas una gran emoción, así como cuando alertan de un problema en alguna cuenta.
• No descargar archivos o aplicaciones por orden y sugerencia de desconocidos, ni aquellas que no estén verificadas como pertenecientes a bancos o marcas en las que queramos operar.
• Contar con un software antivirus instalado y actualizado en el dispositivo móvil para evitar infecciones.
• Mantener actualizados los dispositivos y aplicaciones.
• Modificar las contraseñas afectadas y monitorear cualquier movimiento sospechoso de las cuentas, en caso de sufrir alguna intrusión o infección.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

DOBLE LLAVE

Con información e imágenes referenciales suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos