Säkerhetsanalytiker från ESET har upptäckt och beskrivit en ny form av nätfiskekampanjer som används för bankbedrägerier. Standardnätfisketekniker för att leverera skadlig kod kombinerades den här gången med en ny metod – angriparna riktade sig mot Android- och iOS-plattformsanvändare via PWA-appar, och i fallet med Android-plattformen via WebAPK. Installationerna innehöll inga varningar om att tredjepartsapplikationer installerades i de fall som upptäckts. De flesta av de observerade applikationerna riktade sig till tjeckiska bankers kunder, men ESETs experter noterade också applikationer riktade till banker i Ungern och Georgien. Baserat på de analyserade uppgifterna drog de slutsatsen att två olika grupper av angripare låg bakom kampanjerna. ESET informerade offerbankerna om dessa hot och hjälpte även till att ta bort flera nätfiskedomäner och kontrollservrar.
Säkerhetsexperter från ESET upptäckte en ovanlig typ av nätfiskekampanj, som främst riktade sig till kunder från tjeckiska banker. Den nyupptäckta nätfisketekniken skiljer sig från andra genom att angripare kan lura offren att installera nätfiskeapplikationer från en tredjepartswebbplats utan att offret vet att det är en applikation från en inofficiell källa. På Android-plattformen kan det till och med leda till tyst installation av en speciell typ av APK (Android Application Package) som ser ut att ha installerats från den officiella Google Play-butiken.
Det nyligen beskrivna hotet riktade sig även mot användare av iPhone-smartphones med iOS-operativsystemet. Nätfiskewebbplatser riktade mot iOS-plattformen instruerade offer att lägga till en progressiv webbapp (PWA) på sina hemskärmar.
"För båda plattformarna, Android och iOS, var phishing-apparna i stort sett omöjliga att skilja från de riktiga bankappar som de härmar. PWA-applikationer var i grunden webbplatser insvepta i en till synes separat applikation, medan utseendet på dess äkthet också stöddes av användningen av så kallade inbyggda systemuppmaningar - telefonaviseringar. PWA-appar, som webbplatser, är tillgängliga för olika operativsystem, vilket förklarar hur dessa nätfiskekampanjer kan riktas mot både iOS- och Android-användare. För iPhone-smarttelefonanvändare kan en sådan kampanj krossa långvariga antaganden om säkerheten för iOS-plattformens "stängda ekosystem",säger Jakub Osmani, en säkerhetsanalytiker vid ESETs forskningsgren i Prag, som analyserade den nya nätfiskemetoden.
Ett telefonsamtal, SMS och en annons på sociala nätverk lockade att ladda ner
De upptäckta nätfiskekampanjerna använde tre olika metoder för att leverera skadliga webbadresser till offren. Bland dessa mekanismer fanns automatiserade röstsamtal, textmeddelanden och malvertising (skadlig reklam) på sociala nätverk. Röstsamtalet genomfördes via ett automatiskt samtal där angriparna "varnade" användare om en föråldrad bankapp, vilket uppmanade dem att uppdatera omedelbart. Användarna uppmanades sedan att välja nästa steg på det numeriska tangentbordet. Efter att ha tryckt på rätt knapp skickades en nätfiske-URL till dem via SMS.
"Enligt våra upptäckter skickades falska URL-adresser till slumpmässiga tjeckiska telefonnummer. Meddelandet innehöll en nätfiske-länk och text som angriparna använde för att lura offret att klicka på länken. Den skadliga kampanjen spreds även genom registrerade annonser på Metas sociala nätverk som Instagram och Facebook. Dessa annonser krävde vissa åtgärder, som att ladda ner en uppdatering i form av ett begränsat erbjudande för användare,Osmani förklarar.
När det gäller Android-plattformen, efter att ha klickat på den skadliga webbadressen, dök två andra, olika varianter av denna nätfiskeattack upp - antingen en högkvalitativ nätfiskesida som imiterar den officiella sidan i Google Play Butik med en nedladdningsbar bankapplikation, eller en imitationswebbplats igen som visar alternativet att ladda ner bankapplikationen. I nästa steg uppmanades offren att installera den "nya versionen" av bankapplikationen.
Användare varnades inte för nätfiskeappen under installationen
Den beskrivna nätfiskekampanjen och dess metoder är endast möjliga tack vare teknologin för progressiva webbapplikationer - PWA. PWA:er är byggda med hjälp av traditionell webbapplikationsteknik som kan fungera över flera plattformar och enheter. WebAPK-applikationer kan då betraktas som högre versioner av progressiva webbapplikationer. Chrome genererar en inbyggd Android APK från en PWA. WebAPK-applikationer ser då ut som vanliga inbyggda applikationer, som är applikationer avsedda för endast ett operativsystem – i det här fallet ser de ut som inbyggda applikationer för Android-plattformen. Att installera WebAPK-appen i den här nätfiskekampanjen utlöser dessutom inga varningar om "installera app från en opålitlig källa". En sådan applikation kommer att installeras även om installation av tredjepartsapplikationer inte är tillåten.
Enligt analytiker från ESET låg två olika grupper av angripare bakom kampanjerna. En grupp använde en bot på Telegrams sociala plattform för att logga in all information som lagts in från offer i en gruppchatt via det officiella Telegram API. Den andra gruppen använde en traditionell C&C-kontrollserver med en administrativ panel.
"Baserat på det faktum att angriparna använde två olika förvaltningsinfrastrukturer i de upptäckta kampanjerna, är det troligt att två separata grupper av angripare låg bakom nätfiskekampanjerna mot tjeckiska banker.avslutar Osmani från ESET.
De flesta av de analyserade fallen ägde rum i Tjeckien, endast två nätfiskeapplikationer dök upp utanför den tjeckiska regionen, särskilt i Ungern och Georgien. All känslig information som ESET-analytiker fångade i dessa fall skickades omedelbart till de berörda bankerna för vidare bearbetning. ESET hjälpte också till med borttagningen av flera nätfiskedomäner och kontrollservrar.