Bezpečnostní analytici ze společnosti ESET objevili a popsali novou podobu phishingových kampaní využívaných pro bankovní podvody. Standardní phishingové techniky doručení škodlivého kódu byly tentokrát kombinovány s novou metodou – útočníci se zaměřili na uživatele platforem Android a iOS prostřednictvím aplikací PWA, a v případě platformy Android také prostřednictvím WebAPK. Instalace neobsahovaly ve zjištěných případech žádná varování o tom, že dochází k instalacím aplikací třetích stran. Většina pozorovaných aplikací cílila na klienty českých bank, experti společnosti ESET nicméně zaznamenali také aplikace zaměřené na banky v Maďarsku a Gruzii. Na základě analyzovaných dat dospěli k závěru, že za kampaněmi stály dvě různé skupiny útočníků. Společnost ESET informovala o těchto hrozbách banky obětí a pomohla také několik phishingových domén a řídících serverů odstranit.
Bezpečnostní experti společnosti ESET objevili neobvyklý typ phishingové kampaně, která byla převážně zaměřena na klienty českých bank. Nově objevená phishingová technika se oproti jiným vyznačuje tím, že útočníci dokáží přimět oběti k instalaci phishingových aplikací z webové stránky třetí strany, aniž by se oběť dozvěděla, že se jedná o aplikaci z neoficiálního zdroje. Na platformě Android гэта можа нават прывесці да бясшумнай усталёўкі адмысловага тыпу прыкладання APK (Android Application Package – softwarový balík pro distribuci a instalaci aplikací), která vypadá, jako by byla nainstalována z oficiálního obchodu Google Play.
Нядаўна апісаная пагроза таксама была накіравана на карыстальнікаў смартфонаў iPhone з аперацыйнай сістэмай iOS. Фішынгавыя вэб-сайты, арыентаваныя на платформу iOS instruovaly oběti k tomu, aby přidaly aplikaci PWA (Progressive Web App – Progresivní webová aplikace) na své domovské obrazovky.
"У выпадку абедзвюх платформаў, Android i iOS, byly phishingové aplikace do značné míry nerozeznatelné od skutečných bankovních aplikací, které napodobují. PWA aplikace byly v podstatě webové stránky zabalené do zdánlivě samostatné aplikace, přičemž zdání její opravdovosti bylo podpořeno také využitím tzv. nativních systémových výzev – notifikací telefonu. PWA aplikace jsou, stejně jako webové stránky, dostupné pro různé operační systémy, což vysvětluje, jak mohou tyto phishingové kampaně cílit na uživatele platformy iOS i Android. Pro uživatele chytrých telefonů iPhone такая кампанія можа падарваць усталяваныя здагадкі аб бяспецы «закрытай экасістэмы» платформы iOS,", - кажа Якуб Асмані, аналітык бяспекі пражскага даследчага аддзялення ESET, які аналізаваў новы метад фішынгу.
Вас можа зацікавіць

Тэлефонны званок, смс і рэклама ў сацсетках вабілі спампаваць
Выяўленыя фішынгавыя кампаніі выкарыстоўвалі тры розныя метады дастаўкі шкоднасных вэб-адрасоў ахвярам. Сярод гэтых механізмаў былі аўтаматызаваныя галасавыя выклікі, тэкставыя паведамленні і шкоднасная рэклама ў сацыяльных сетках. Галасавы званок быў выкананы з дапамогай аўтаматызаванага званка, падчас якога зламыснікі «папярэджвалі» карыстальнікаў аб састарэлым банкаўскім дадатку, прапаноўваючы неадкладна абнавіць яго. Затым карыстальнікам было прапанавана выбраць наступны крок на лічбавай клавіятуры. Пасля націскання патрэбнай кнопкі ім праз SMS быў адпраўлены фішынг-URL.
"Rozesílání falešných URL adres probíhalo podle našich zjištění na náhodná česká telefonní čísla. Zpráva obsahovala phishingový odkaz a text, kterým chtěli útočníci zmanipulovat oběť tak, aby na odkaz klikla. Škodlivá kampaň se šířila také prostřednictvím registrovaných reklam na sociálních sítích společnosti Meta, jako jsou Instagram a Facebook. Tyto reklamy vyzývaly k nějaké akci, například ke stažení aktualizace v podobě omezené nabídky pro uživatele,Асмані тлумачыць.
У выпадку платформы Android пасля націску на шкоднасны URL з'явіліся два іншыя, розныя variaнты гэтай фішынгавай атакі - альбо высакаякасная фішынгавая старонка, якая імітуе афіцыйную старонку крамы Google Play з банкаўскім дадаткам для загрузкі або імітацыя вэб-сайта, на якім зноў паказваецца магчымасць загрузкі банкаўскага дадатку. На наступным этапе пацярпелым было прапанавана ўсталяваць «новую версію» банкаўскага прыкладання.
Вас можа зацікавіць

Карыстальнікі не былі папярэджаны аб фішынгавай праграме падчас усталявання
Popsaná phishingová kampaň a její metody jsou možné pouze díky technologii progresivních webových aplikací – PWAs. PWAs jsou vytvořené pomocí tradičních technologií webových aplikací, které mohou fungovat na více platformách a zařízeních. WebAPK aplikace lze pak považovat za vyšší verze progresivních webových aplikací. Prohlížeč Chrome generuje nativní aplikaci APK pro Android z PWA. WebAPK aplikace pak vypadají jako běžné nativní aplikace, což jsou aplikace určené pouze pro jeden operační systém – v tomto případě vypadají jako nativní aplikace pro platformu Android. Акрамя таго, усталяванне прыкладання WebAPK у рамках гэтай фішынгавай кампаніі не выклікае ніякіх папярэджанняў аб «усталяванні прыкладання з ненадзейнай крыніцы». Такое прыкладанне нават будзе ўстаноўлена, калі ўстаноўка старонніх прыкладанняў забароненая.
Па словах аналітыкаў ESET, за кампаніямі стаялі дзве розныя групы зламыснікаў. Адна група выкарыстала бота на сацыяльнай платформе Telegram для запісу ўсёй уведзенай інфармацыіmacад ахвяр да групы chatпраз афіцыйны API Telegram. Другая група выкарыстоўвала традыцыйны C&C сервер з рэкламайminiстратыфікацыйная панэль.
"Зыходзячы з таго, што зламыснікі выкарыстоўвалі дзве розныя інфраструктуры кантролю ў рамках выяўленых кампаній, верагодна, што за фішынгавымі кампаніямі супраць чэшскіх банкаў стаялі дзве асобныя групы зламыснікаў.заключае Асмані з ESET.
Большасць прааналізаваных выпадкаў адбыліся ў Чэхіі, толькі два фішынгавых прыкладання з'явіліся за межамі Чэхіі, у прыватнасці ў Венгрыі і Грузіі. Уся канфідэнцыяльная інфармацыяmacЭлектронныя лісты, якія аналітыкі ESET зафіксавалі ў гэтых выпадках, былі неадкладна адпраўлены ў пацярпелыя банкі для далейшай апрацоўкі. ESET таксама дапамагла ліквідаваць некалькі фішынгавых даменаў і кантраляваць серверы.