AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### Apps fraudulentas emplean WebView, inyección JavaScript y robo de OTP para suscripciones maliciosas

admin

#### 1. Introducción

En las últimas semanas, diversos equipos de investigación en ciberseguridad han detectado una nueva oleada de aplicaciones maliciosas distribuidas principalmente a través de tiendas de apps no oficiales y canales de distribución alternativos. Estas aplicaciones, que aparentan ser utilidades legítimas —como reproductores multimedia, optimizadores de batería o herramientas de edición fotográfica—, utilizan avanzadas técnicas de evasión y automatización para suscribir a los usuarios, sin su consentimiento, a servicios premium de pago mediante el uso combinado de WebView, inyección de JavaScript y robo de códigos de verificación OTP. Este sofisticado enfoque está elevando la efectividad de las campañas de fraude y complicando extraordinariamente su detección por parte de usuarios y soluciones tradicionales de seguridad móvil.

#### 2. Contexto del Incidente o Vulnerabilidad

La proliferación de aplicaciones fraudulentas capaces de suscribir a usuarios a servicios de tarificación adicional (conocido como SMS Premium Fraud o WAP Billing Fraud) no es un fenómeno nuevo. Sin embargo, la actual oleada destaca por el nivel de automatización y el uso coordinado de diferentes vectores de ataque. Según informes recientes, estas apps emplean WebView para cargar portales de suscripción directamente dentro de la aplicación, evitando así el salto a navegadores externos donde soluciones de seguridad pueden interceptar el tráfico.

Un reciente análisis ha identificado decenas de aplicaciones orientadas a usuarios de mercados emergentes, especialmente en regiones del Sudeste Asiático, África y Europa del Este, aunque también se han detectado incidentes en España y otros países de la UE. La distribución se realiza mayoritariamente fuera de Google Play, pero se han reportado casos de apps que lograron evadir los controles de la tienda oficial antes de ser retiradas.

#### 3. Detalles Técnicos

El modus operandi de estas aplicaciones se basa en una cadena de ataque claramente definida:

– **Automatización mediante WebView:** La app integra un componente WebView que carga el portal de suscripción de un tercero.
– **Inyección de JavaScript:** Aprovechando el control sobre el WebView, la app inyecta scripts en el contexto de la página para rellenar formularios, aceptar términos y activar la suscripción sin intervención del usuario.
– **Intercepción de OTP (One-Time Password):** Cuando el proceso de suscripción requiere un código OTP enviado por SMS, la app solicita permisos de lectura de SMS y monitoriza los mensajes entrantes. El código se extrae automáticamente y se introduce en el formulario utilizando JavaScript.
– **Evasión de detección:** El proceso se desencadena únicamente bajo condiciones específicas (por ejemplo, tras un tiempo de uso, según la geolocalización o la SIM detectada), dificultando su análisis en entornos sandbox.

**Mitre ATT&CK:** Las técnicas empleadas se corresponden principalmente con T1407 (Input Capture), T1505.003 (Web Services: Web Shell) y T1516 (Input Injection).

**Indicadores de Compromiso (IoC):**
– Solicitud de permisos de SMS y superposición de pantalla.
– Ejecución de scripts JavaScript no presentes en el código fuente original de la web.
– Comunicación cifrada con C2 para actualización de payloads.

**Versiones afectadas:** Android 8.0 y superiores, especialmente en dispositivos con parches de seguridad desactualizados.

**Herramientas de explotación:** Se han observado variantes que utilizan frameworks como Metasploit para la distribución y ofuscación, así como herramientas propias de automatización de WebView.

#### 4. Impacto y Riesgos

El impacto para los usuarios es directo y económico: cargos no autorizados por suscripciones a servicios premium, generalmente de entre 5 y 30 euros mensuales. A nivel empresarial, cualquier dispositivo corporativo infectado puede incurrir en costes inesperados y exponer información sensible si la app accede a SMS corporativos.

Según estimaciones de la GSMA y Europol, las pérdidas por fraudes de suscripción móvil superaron los 1.200 millones de dólares en 2023, con un crecimiento interanual del 18%. En España, la Agencia Española de Protección de Datos (AEPD) ha emitido advertencias sobre este tipo de fraudes, especialmente tras la entrada en vigor de la NIS2 y la obligación de reporte de incidentes.

#### 5. Medidas de Mitigación y Recomendaciones

– **Restricción de permisos:** Limitar la concesión de permisos de lectura de SMS y superposición de pantalla, especialmente en dispositivos corporativos.
– **Revisión de apps instaladas:** Auditar periódicamente las aplicaciones instaladas y su procedencia.
– **Actualización de parches de seguridad:** Mantener los dispositivos actualizados con los últimos parches de Android.
– **Despliegue de EDR móvil:** Implementar soluciones de Mobile Threat Defense (MTD) capaces de monitorizar el uso anómalo de WebView y la inyección de código.
– **Educación y concienciación:** Formar a usuarios y empleados sobre los riesgos de instalar apps fuera de canales oficiales.

#### 6. Opinión de Expertos

David Sánchez, analista senior de amenazas en un importante CERT español, señala: “Estamos ante una evolución de los fraudes tradicionales de SMS premium, donde el uso de WebView y automatización eleva la sofisticación y reduce la necesidad de ingeniería social. Las técnicas de inyección y robo de OTP ponen en jaque tanto a los controles de seguridad del sistema operativo como a las plataformas de suscripción”.

#### 7. Implicaciones para Empresas y Usuarios

Para las empresas, la presencia de este tipo de apps en dispositivos BYOD o COPE representa un riesgo significativo tanto financiero como de cumplimiento normativo (GDPR, NIS2). El acceso a SMS puede facilitar además ataques de interceptación de doble factor (2FA) y exfiltración de datos sensibles. Los usuarios individuales, por su parte, se enfrentan a la dificultad de identificar el fraude hasta que aparecen cargos en la factura, y a la complejidad de revertir el proceso con los operadores.

#### 8. Conclusiones

La convergencia de técnicas como la automatización de WebView, la inyección de JavaScript y la intercepción de OTP marca una nueva generación de fraudes móviles que exige respuestas más avanzadas tanto a nivel técnico como organizativo. La colaboración entre fabricantes, operadores y equipos de respuesta a incidentes será clave para frenar la escalada de estos ataques.

(Fuente: www.darkreading.com)