Użytkownicy urządzeń mobilnych w Czechach są celem nowej kampanii phishingowej, która wykorzystuje Progressive Web App (PWA) w celu kradzieży danych uwierzytelniających do konta bankowego. Według słowackiej firmy ESET zajmującej się cyberbezpieczeństwem, ataki były wymierzone w czeski Československá Obchodní Banka (CSOB), a także węgierski OTP Bank i gruziński TBC Bank.
„Strony phishingowe atakujące system iOS instruują ofiary, aby dodały do ekranu głównego aplikację PWA, podczas gdy na systemie Android aplikacja PWA jest instalowana po potwierdzeniu niestandardowych okienek pop-up w przeglądarce” — powiedział Jakub Osmani, badacz ds. bezpieczeństwa.
„W tym momencie w obu systemach operacyjnych aplikacje phishingowe są w dużej mierze nie do odróżnienia od prawdziwych aplikacji bankowych, które imitują.” Warte podkreślenia w tej taktyce jest to, że użytkownicy są oszukiwani i instalują PWA, a w niektórych przypadkach nawet WebAPK na Androidzie, z witryny innej firmy, bez konieczności wyraźnego zezwolenia ładowanie w tle.
Analiza wykorzystywanych serwerów C2 oraz infrastruktury atakujących ujawnia, że za kampaniami stoją dwa różne podmioty. Witryny wykorzystywane do ataku na użytkowników są rozpowszechniane za pośrednictwem automatycznych połączeń głosowych, wiadomości SMS i złośliwych reklam w mediach społecznościowych za pośrednictwem Facebooka i Instagrama. Połączenia głosowe ostrzegają użytkowników o nieaktualnej aplikacji bankowej i proszą ich o wybranie opcji numerycznej, po czym wysyłany jest phishingowy adres URL.
Użytkownikom, którzy klikają w link, wyświetlana jest strona, która naśladuje listę Sklepu Google Play dla docelowej aplikacji bankowej lub witrynę naśladującą aplikację, co ostatecznie prowadzi do “instalacji” aplikacji PWA lub WebAPK pod pozorem aktualizacji aplikacji.
„Ten kluczowy krok instalacji omija tradycyjne ostrzeżenia przeglądarki o ‘instalowaniu nieznanych aplikacji’: jest to domyślne zachowanie technologii WebAPK przeglądarki Chrome, która jest nadużywana przez atakujących” — wyjaśnił Osmani. „Co więcej, instalacja WebAPK nie powoduje żadnych ostrzeżeń o ‘instalacji z niezaufanego źródła’.
Dla tych, którzy korzystają z urządzeń Apple iOS, dostępne są instrukcje dodawania fałszywej aplikacji PWA do ekranu głównego. Ostatecznym celem kampanii jest przechwycenie poświadczeń bankowych wprowadzonych w aplikacji i eksfiltracja ich na kontrolowany przez atakującego serwer C2 lub czat grupowy Telegram.
ESET powiedział, że zarejestrował pierwszą instancję phishingu przez PWA na początku listopada 2023 r., a kolejne fale wykryto w marcu i maju 2024 roku.
Pierwszy przypadek tej techniki zaobserwowano w lipcu 2023 r. Nastąpiło to w momencie, gdy badacze cyberbezpieczeństwa odkryli nowy wariant trojana Gigabud Android, który rozprzestrzenia się za pośrednictwem witryn phishingowych naśladujących Sklep Google Play lub witryn podszywających się pod różne banki lub podmioty rządowe.
“Złośliwe oprogramowanie ma różne możliwości, takie jak gromadzenie danych o zainfekowanym urządzeniu, eksfiltracja poświadczeń bankowych, gromadzenie nagrań ekranu itp,”Wynika to również z odkrycia przez Silent Push 24 różnych paneli kontrolnych dla różnych trojanów bankowych na Androida, takich jak ERMAC, BlackRock, Hook, Loot i Pegasus (nie mylić z oprogramowaniem szpiegującym NSO Group o tej samej nazwie), które są obsługiwane przez grupę o nazwie DukeEugene.
