Cuidado con el «WhatsApp.com» falso que busca infectarte con malware

Esta historia se sigue repitiendo. A finales de 2016 contamos el caso del imitador de Google.com, un dominio que luce casi igual al original, pero que en realidad usa una letra muy parecida a la "G" mayúscula para hacerse pasar por el dominio del buscador. Era ?oogle.com.

A mediados de abril de 2017 un investigador descubrió una nueva variación de ataque homográfico que ni Chrome, ni Firefox ni Opera detectaban en un inicio y para dar un ejemplo de cómo podría explotarse creó el dominio "apple.com" que luce exactamente igual que apple.com pero en realidad usa una "a" del alfabeto cirílico.

  • ¿Le espían por WhatsApp Web? Descubra cómo enterarse y proteger su cuenta

Ahora, siguiendo la misma tendencia de crear dominios maliciosos con caracteres unicode que luzcan similares a los de marcas conocidas, una nueva web cuya URL es "????????.com" invita a los usuarios que caigan en ella a instalar adware en sus dispositivos. El dominio es realmente "http://xn--80aa2cah8a7f73b.com/" pero el navegador lo interpreta como "????????.com".

whatsapp,  mensaje falso, malware, usuarios, android, chrome,

A diferencia de los casos con los dominios de Google y Apple, a este se le notan más los caracteres "raros", pero no dudamos que más de uno siquiera note la diferencia. Su existencia ha sido reportada en Reddit y nos muestran capturas de pantalla de lo que aparece cuando haces click desde un dispositivo móvil.

whatsapp,  mensaje falso, malware, usuarios, android, chrome,

El ataque está claramente enfocado a dispositivos móviles, y desde Google Chrome para Android es muy difícil notar la diferencia. Si visitas la URL desde el ordenador, te redirige inmediatamente a http://blackwhats.site/. Nosotros hicimos la prueba, si lo abres desde Chrome para Android luce así:

whatsapp,  mensaje falso, malware, usuarios, android, chrome,

El proceso es simple:

Primero el usuario recibe un mensaje invitándolo a probar WhatsApp en diferentes colores con un enlace a http://????????.com/?colors

Cuando haces click en el enlace te obligan a compartir el link con muchos grupos para verificar que eres humano y terminas infectando a más gente

Una vez que compartes el enlace te harán instalar aplicaciones llenas de adware

Luego de que instalas las apps con adware te dirán que los colores de WhastApp solo están disponibles para WhatsApp web y te harán instalar una extensión para Chrome falsa

La extensión BlackWhats están en la Chrome Web Store aún, así que aprovechamos para reportarla.

Así que has sido advertido, nadie con buenas intenciones anda regalando "temas de colores nuevos para WhatsApp". Este problema con la URL en punycode fue resuelto en los navegadores de escritorio, pero aparentemente en Chrome para Android hay aún espacio para aprovecharlo.