El equipo de investigación de ESET identificó una nueva campaña maliciosa suplantando a una reconocida institución bancaria de la Argentina con el objetivo de robar dinero e información personal de sus víctimas.

El engaño comienza con un primer contacto mediante una página de Facebook, actualmente dada de baja, que utilizaba imágenes haciendo referencia al banco y prometía descuentos en varios servicios para adultos mayores. Para reclamarlos, supuestamente, la víctima debería comunicarse con un número telefónico mediante una llamada de WhatsApp.

Esta campaña, cuenta el equipo de ESET, se apoya fuertemente en técnicas de ingeniería social, que consisten en manipular psicológicamente a las víctimas para que realicen acciones que comprometan su seguridad. En este caso, el atacante busca convencer a la víctima de su legitimidad como empleado bancario y tienta a la víctima con un supuesto descuento en servicios, si descargaba una aplicación.

Mensajes intercambiados con el atacante luego de la llamada

Una vez terminada la llamada, el atacante le envía a la víctima el enlace para la descarga de la primera aplicación, mediante la tienda oficial de Android. Luego de enviar el enlace para la instalación de la aplicación y el código de confirmación, la víctima se conecta remotamente con el atacante, quien con esto puede ver la pantalla, interactuar con las aplicaciones, transferir archivos y realizar acciones en nombre de la víctima.

Esta aplicación, llamada Supremo, permite la administración y control de dispositivos móviles de forma remota. Estas funcionalidades generalmente están relacionadas con dar soporte o gestionar un equipo propio a distancia, pero también pueden ser utilizadas con fines maliciosos por cibercriminales para realizar acciones en los equipos de sus víctimas.

“Si bien inducir a las víctimas a instalar una aplicación de control remoto no es una técnica nueva, sí es importante destacar que resulta novedoso en el contexto de las estafas bancarias y suplantaciones, y que posiblemente responda a las campañas de concientización que están haciendo sobre no compartir información sensible: Si el atacante no puede hacer que sus víctimas les entreguen las credenciales, la “innovación” es controlar el dispositivo donde tiene la aplicación del banco.”, comenta Martina Lopez, Investigadora de ESET Latinoamérica.

En la página de la aplicación en Google Play se pueden leer numerosos comentarios de usuarios de argentina que reportan haber sido estafados con variadas excusas, desde al menos mayo de 2024. Entre las empresas cuya identidad ha sido suplantada por campañas que instan a sus víctimas a instalar Supremo ESET identificó a Netflix, Starlink, Mercado Libre, YPF, entre otros. Además, en algunos casos las víctimas alegan que han sufrido el robo de dinero o tomas de préstamos bancarios mediante el control de sus celulares por los estafadores.

Algunas de las reseñas dando cuenta de varias campañas en el año