Eset atrage atenția asupra unei noi tehnici de phishing care vizează utilizatorii de aparate dotate cu sistemele de operare iOS și Android, folosind aplicații web care imită software-ul bancar pentru a ocoli protecțiile de securitate și a fura datele de autentificare ale utilizatorilor.
Atacurile, observate pe ambele platforme, implică utilizarea de Aplicații Web Progresive (PWA) – site-uri web care arată ca aplicații independente.
Atacurile au început anul trecut
Potrivit ESET, atacurile de phishing au început probabil în jurul lunii noiembrie 2023, iar serverele de comandă și control (C&C) au devenit operaționale în martie 2024.
În unele cazuri, un bot Telegram a fost folosit pentru colectarea informațiilor utilizatorilor.
Atacurile s-au concentrat în principal pe utilizatorii de mobile banking din Republica Cehă, dar au fost observate și atacuri care au vizat utilizatori din Ungaria și Georgia.
Pe Android, atacatorii au folosit și WebAPKs, aplicații care par instalate din Google Play, dar care sunt de fapt aplicații web.
Construite cu ajutorul tehnologiilor de aplicații web, PWA-urile pot rula pe diverse platforme și tipuri de dispozitive, fără a necesita instalarea de aplicații din surse terțe.
În cadrul atacurilor observate, utilizatorii iOS erau instruiți să adauge PWA-urile pe ecranul principal, în timp ce utilizatorii Android trebuiau să confirme anumite pop-up-uri personalizate în browser pentru a finaliza instalarea.
WebAPKs, care pot fi considerate versiuni avansate ale PWA-urilor, se comportă ca aplicațiile native și instalarea lor nu declanșează nicio alertă pe dispozitivele Android, chiar dacă utilizatorul nu a permis instalarea din surse terțe.
Hackerii folosesc un întreg arsenal
Mai mult, filele de informații ale acestor aplicații susțineau că au fost descărcate din Google Play.
Infractorii cibernetici au folosit apeluri vocale automatizate, reclame malicioase pe rețelele sociale și mesaje SMS pentru a distribui linkuri către site-uri web care găzduiesc aplicațiile frauduloase.
După instalare, pictograma PWA-ului sau WebAPK-ului apărea pe ecranul principal al utilizatorului, iar deschiderea acesteia ducea direct la o pagină de autentificare phishing.
„După instalare, victimele sunt solicitate să-și introducă datele de autentificare în internet banking pentru a accesa contul prin noua aplicație de mobile banking. Toate informațiile trimise sunt transferate către serverele de comandă și control ale atacatorilor”, potrivit ESET.
Pe baza infrastructurii C&C descoperite, ESET consideră că două grupuri de atacatori diferite au folosit această nouă tactică în atacurile lor de phishing.
Firma de securitate cibernetică avertizează că atacatorii ar putea să își extindă arsenalul cu mai multe aplicații falsificate, fiind greu de distins de cele legitime.