Cuidado con el "WhatsApp.com" falso que busca infectarte con malware

Esta historia se sigue repitiendo. A finales de 2016 había un imitador de Google.com, un dominio que luce casi igual al original, pero que en realidad usa una letra muy parecida a la "G" mayúscula para hacerse pasar por el dominio del buscador. Era ɢoogle.com.

A mediados de abril de 2017 un investigador descubrió una nueva variación de ataque homográfico que ni Chrome, ni Firefox ni Opera detectaban en un inicio y para dar un ejemplo de cómo podría explotarse creó el dominio "apple.com" que luce exactamente igual que apple.com pero en realidad usa una "a" del alfabeto cirílico.

Ahora, siguiendo la misma tendencia de crear dominios maliciosos con caracteres unicode que luzcan similares a los de marcas conocidas, una nueva web cuya URL es "шһатѕарр.com" invita a los usuarios que caigan en ella a instalar adware en sus dispositivos. El dominio es realmente "http://xn--80aa2cah8a7f73b.com/" pero el navegador lo interpreta como "шһатѕарр.com".

A diferencia de los casos con los dominios de Google y Apple, a este se le notan más los caracteres "raros", pero no dudamos que más de uno siquiera note la diferencia. Su existencia ha sido reportada en Reddit y nos muestran capturas de pantalla de lo que aparece cuando haces click desde un dispositivo móvil.

El ataque está claramente enfocado a dispositivos móviles, y desde Google Chrome para Android es muy difícil notar la diferencia. Si visitas la URL desde el ordenador, te redirige inmediatamente a http://blackwhats.site/. Nosotros hicimos la prueba, si lo abres desde Chrome para Android luce así:

El proceso es simple:

  • Primero el usuario recibe un mensaje invitándolo a probar WhatsApp en diferentes colores con un enlace a http://шһатѕарр.com/?colors
  • Cuando haces click en el enlace te obligan a compartir el link con muchos grupos para verificar que eres humano y terminas infectando a más gente
  • Una vez que compartes el enlace te harán instalar aplicaciones llenas de adware
  • Luego de que instalas las apps con adware te dirán que los colores de WhastApp solo están disponibles para WhatsApp web y te harán instalar una extensión para Chrome falsa
  • La extensión BlackWhats están en la Chrome Web Store aún, así que aprovechamos para reportarla.

Así que has sido advertido, nadie con buenas intenciones anda regalando "temas de colores nuevos para WhatsApp". Este problema con la URL en punycode fue resuelto en los navegadores de escritorio, pero aparentemente en Chrome para Android hay aún espacio para aprovecharlo.