Säkerhetsanalytiker från ESET har upptäckt och beskrivit en ny form av nätfiskekampanjer som används för bankbedrägerier. Standardnätfisketekniker för att leverera skadlig kod kombinerades med en ny metod denna gång – angripare riktade sig mot plattformsanvändare Android a iOS genom PWA-applikationer, och när det gäller plattformen Android även via WebAPK. I de identifierade fallen innehöll installationerna inga varningar om att tredjepartsapplikationer installerades. De flesta av de observerade applikationerna riktade sig till kunder från tjeckiska banker, men ESET-experter noterade också applikationer som riktade sig till banker i Ungern och Georgien. Baserat på de analyserade uppgifterna drog de slutsatsen att två olika grupper av angripare låg bakom kampanjerna. ESET informerade offerbankerna om dessa hot och hjälpte även till att ta bort flera nätfiskedomäner och kontrollservrar.
ESET:s säkerhetsexperter upptäckte en ovanlig typ av nätfiskekampanj som främst riktade sig till kunder från tjeckiska banker. Den nyupptäckta nätfisketekniken skiljer sig från andra genom att angripare kan lura offer att installera nätfiskeapplikationer från en tredjepartswebbplats utan att offret vet att det är ett program från en inofficiell källa. På perrongen Android detta kan till och med leda till tyst installation av en speciell typ av APK-applikation (Android Applicensiering Package – ett mjukvarupaket för att distribuera och installera applikationer) som ser ut att ha installerats från den officiella butiken Google Play.
Det nyligen beskrivna hotet riktade sig även mot smartphoneanvändare iPhone med operativsystemet iOS. Nätfiskewebbplatser som är inriktade på plattformen iOS instruerade offer att lägga till en PWA (Progressive Web App) App – Progressive Web App) till dina hemskärmar.
"När det gäller båda plattformarna, Android i iOS, phishing-apparna var i stort sett omöjliga att skilja från de riktiga bankapparna som de imiterade. PWA-applikationer var i huvudsak webbplatser insvepta i en till synes fristående applikation, med utseendet på dess autenticitet som också stöddes av användningen av s.k. inbyggda systemuppmaningar – telefonaviseringar. PWA-appar, som webbplatser, är tillgängliga för olika operativsystem, vilket förklarar hur dessa nätfiskekampanjer kan rikta in sig på plattformsanvändare. iOS i Android. För smartphoneanvändare iPhone en sådan kampanj kan undergräva de etablerade antagandena om säkerheten för plattformens "stängda ekosystem" iOS,säger Jakub Osmani, en säkerhetsanalytiker vid ESETs forskningsgren i Prag, som analyserade den nya nätfiskemetoden.
Du kan vara intresserad av
Ett telefonsamtal, SMS och en annons på sociala nätverk lockade att ladda ner
De upptäckta nätfiskekampanjerna använde tre olika metoder för att leverera skadliga webbadresser till offren. Bland dessa mekanismer fanns automatiserade röstsamtal, textmeddelanden och malvertising (skadlig reklam) på sociala nätverk. Röstsamtalet genomfördes via ett automatiskt samtal där angriparna "varnade" användare om en föråldrad bankapp, vilket uppmanade dem att uppdatera omedelbart. Användarna uppmanades sedan att välja nästa steg på det numeriska tangentbordet. Efter att ha tryckt på rätt knapp skickades en nätfiske-URL till dem via SMS.
"Enligt våra upptäckter skickades de falska URL-adresserna till slumpmässiga tjeckiska telefonnummer. Meddelandet innehöll en nätfiske-länk och text som angriparna använde för att manipulera offret att klicka på länken. Den skadliga kampanjen spreds även genom registrerade annonser på Metas sociala medieplattformar, som Instagram och Facebook. Dessa annonser krävde en åtgärd, som att ladda ner en uppdatering som ett begränsat erbjudande för användare,Osmani förklarar.
När det gäller en plattform Android efter att ha klickat på den skadliga webbadressen dök två andra, olika upp varianty av denna nätfiskeattack – antingen en högkvalitativ nätfiskesida som imiterar den officiella butikssidan Google Play med en bankapplikation att ladda ner, eller en imitation av en webbplats som återigen visar möjligheten att ladda ner en bankapplikation. I nästa steg uppmanades offren att installera den "nya versionen" av bankapplikationen.
Du kan vara intresserad av
Användare varnades inte för nätfiskeappen under installationen
Den beskrivna nätfiskekampanjen och dess metoder är endast möjliga tack vare teknologin för progressiva webbapplikationer - PWA. PWA:er är byggda med hjälp av traditionell webbapplikationsteknik som kan fungera över flera plattformar och enheter. WebAPK-applikationer kan då betraktas som högre versioner av progressiva webbapplikationer. Webbläsare Chrome genererar en inbyggd APK för Android från PWA. WebAPK-applikationer ser då ut som vanliga inbyggda applikationer, som är applikationer designade för endast ett operativsystem – i det här fallet ser de ut som inbyggda applikationer för plattformen. Android. Dessutom utlöser inte installation av WebAPK-applikationen som en del av denna nätfiskekampanj några varningar om att "installera ett program från en opålitlig källa." En sådan applikation kommer till och med att installeras om installation av tredjepartsapplikationer inte är tillåten.
Enligt ESET-analytiker låg två olika grupper av angripare bakom kampanjerna. En grupp använde en bot på den sociala plattformen Telegram för att registrera all inmatad informationmacfrån offer till grupp chatvia det officiella Telegram API. Den andra gruppen använde en traditionell C&C-server med annonsministratifieringspanelen.
"Baserat på det faktum att angriparna använde två olika förvaltningsinfrastrukturer i de upptäckta kampanjerna, är det troligt att två separata grupper av angripare låg bakom nätfiskekampanjerna mot tjeckiska banker.avslutar Osmani från ESET.
De flesta av de analyserade fallen ägde rum i Tjeckien, endast två nätfiskeapplikationer dök upp utanför den tjeckiska regionen, särskilt i Ungern och Georgien. All känslig informationmacE-postmeddelandena som ESET-analytiker fångade i dessa fall skickades omedelbart till de berörda bankerna för vidare bearbetning. ESET hjälpte också till att ta bort flera nätfiskedomäner och kontrollservrar.
