Debido a su creciente popularidad y a la sensibilidad de los datos personales que almacenan, las apps para dispositivos móviles son un blanco cada vez más frecuente para ciberdelincuentes y hackers.
Al ingresar información personal en algunas apps desde un smartphone compartimos datos sensibles como el nombre, domicilio e incluso datos bancarios para compras y servicios en nuestro día a día.
Estos pueden verse comprometidos fácilmente utilizando cientos de herramientas poderosas, disponibles gratuitamente y fáciles de usar, que abren miles de amenazas exclusivas para dispositivos móviles.
México es el tercer país de América Latina que más ciberataques enfrenta al año con aproximadamente 102 mil intentos, según reportes recientes de Kaspersky.
“Las apps móviles son vulnerables a diversas formas de ataques cibernéticos y efectivamente pueden ser hackeadas. Los ciberdelincuentes pueden explotar los huecos en la seguridad incluso en las aplicaciones. Es por eso que no se debe pasar por alto la seguridad para cualquier negocio que tenga una app”, explicó Tom Tovar, CEO y cofundador de Appdome, plataforma de ciberdefensa automatizada para aplicaciones móviles.
Phishing y fraude sintético en apps móviles
La víctima recibe una invitación para interactuar con un contenido falso o malicioso que imita a una entidad confiable.
Por ejemplo, se presenta como un supuesto mensaje de su banco pidiéndole que verifique su cuenta agregando datos personales.
Como resultado, los usuarios creen que está enviando información confidencial a una organización confiable, pero en realidad la está revelando a un malware o a un atacante.
Históricamente, el correo electrónico ha sido un canal recurrente para las campañas de phishing, pero no es el único.
Los ataques de phishing modernos a menudo involucran a las apps móviles, con métodos sofisticados como malware superpuesto, malware de servicios de accesibilidad, aplicaciones y clones falsos; troyanos con malware cifrado y más.
Malware, ataques de superposición y troyanos
Es un tipo de software malicioso diseñado para infiltrarse, dañar o comprometer tanto las aplicaciones como otros sistemas infectados.
Estos programas tienen la capacidad para robar información y monitorear la actividad en la app, lo que resulta devastador para la seguridad del usuario.
Por ejemplo, los troyanos bancarios BrasDex y Xenomorph abusan de las funciones de Accessibility Service en los dispositivos Android para interceptar eventos entre el sistema operativo y la app.
Luego utilizan un malware especializado en la carga útil en el Sistema de Transferencia Automatizada (ATS), que les permite ingresar información en los formularios dentro de la app.
Así es como el troyano se hace pasar por el usuario de banca móvil, elude las autenticaciones multifactor y completar transacciones de extremo a extremo.
Esto involucra también transferencias de dinero, todo sin el conocimiento ni la participación del usuario.
Bots maliciosos y ataques de botnets
Los bots maliciosos son programas automatizados diseñados para ejecutar acciones dañinas o engañosas, como fraudes, recopilación de datos y robos.
Estos robots son cada vez más sofisticados: imitan el comportamiento humano y explotan actividades legítimas de las aplicaciones móviles, lo que hace que su detección sea difícil.
Las soluciones anti-bot tradicionales, diseñadas para soluciones web, no tienen la inteligencia necesaria para detectar ataques dirigidos a canales móviles.
Esto deja un enorme punto ciego en la estrategia de protección de la mayoría de las empresas y otras organizaciones.
La responsabilidad cambiante: un llamado a los desarrolladores
“Los usuarios pueden asegurarse de tener contraseñas complejas y descargar apps únicamente de las tiendas oficiales, todo el mundo ha oído estos consejos antes. Pero la seguridad no debería recaer únicamente en el usuario, la responsabilidad también es de los desarrolladores. Al reconocer esta realidad, las agencias gubernamentales han hecho un cambio crucial”, explicó Tovar.
La industria debe priorizar la protección dentro de las apps, ya que los usuarios de dispositivos móviles dependen cada vez más de los desarrolladores para fortalecer sus defensas contra amenazas emergentes.
Por ejemplo, la automatización permite a los equipos de desarrollo y cibernéticos utilizar inteligencia integral sobre amenazas y datos de ataques en tiempo real en apps móviles para tomar decisiones informadas sobre qué protecciones integrar tanto en sistemas Android como iOS.
Estas soluciones integrales utilizan plataformas automatizadas de ciberdefensa sin código, con protecciones en las apps en cuestión de minutos desde la ingeniería CI/CD ya existente.
Puedes consultar más notas de Appdome en este enlace