ESET:s säkerhetsanalytiker har upptäckt och beskrivit en ny form av nätfiskekampanjer som används för bankbedrägerier. Den här gången kombinerades vanliga nätfisketekniker för att leverera skadlig kod med en ny metod – angriparna riktade sig mot Android- och iOS-användare. iOS via PWA-applikationer, och när det gäller Android-plattformen även via WebAPK. I de upptäckta fallen innehöll installationerna inga varningar om installation av tredjepartsapplikationer. De flesta av de observerade applikationerna riktade sig mot kunder hos tjeckiska banker, men ESET-experter noterade även applikationer som riktade sig mot banker i Ungern och Georgien. Baserat på den analyserade datan drog de slutsatsen att två olika grupper av angripare låg bakom kampanjerna. ESET informerade de drabbade bankerna om dessa hot och hjälpte även till att ta bort flera nätfiskedomäner och kontrollera servrar.
ESET:s säkerhetsexperter har upptäckt en ovanlig typ av nätfiskekampanj som huvudsakligen riktades mot kunder hos tjeckiska banker. Den nyupptäckta nätfisketekniken skiljer sig från andra genom att angripare kan lura offer att installera nätfiskeprogram från en tredjepartswebbplats utan att offret vet att programmet kommer från en inofficiell källa. På Android-plattformen kan detta till och med leda till tyst installation av en speciell typ av APK-program (Android Applicensiering Package – ett mjukvarupaket för att distribuera och installera applikationer) som ser ut att ha installerats från den officiella butiken Google Play.
Det nyligen beskrivna hotet riktade sig även mot smartphoneanvändare iPhone med operativsystemet iOS. Nätfiskewebbplatser som är inriktade på plattformen iOS instruerade offer att lägga till en PWA (Progressive Web App) App – Progressive Web App) till dina hemskärmar.
"När det gäller båda plattformarna, Android och iOS, phishing-apparna var i stort sett omöjliga att skilja från de riktiga bankapparna som de imiterade. PWA-applikationer var i huvudsak webbplatser insvepta i en till synes fristående applikation, med utseendet på dess autenticitet som också stöddes av användningen av s.k. inbyggda systemuppmaningar – telefonaviseringar. PWA-appar, som webbplatser, är tillgängliga för olika operativsystem, vilket förklarar hur dessa nätfiskekampanjer kan rikta in sig på plattformsanvändare. iOS och Android. För smartphone-användare iPhone en sådan kampanj kan undergräva de etablerade antagandena om säkerheten för plattformens "stängda ekosystem" iOS,säger Jakub Osmani, en säkerhetsanalytiker vid ESETs forskningsgren i Prag, som analyserade den nya nätfiskemetoden.
Du kan vara intresserad av
Ett telefonsamtal, SMS och en annons på sociala nätverk lockade att ladda ner
De upptäckta nätfiskekampanjerna använde tre olika metoder för att leverera skadliga webbadresser till offren. Bland dessa mekanismer fanns automatiserade röstsamtal, textmeddelanden och malvertising (skadlig reklam) på sociala nätverk. Röstsamtalet genomfördes via ett automatiskt samtal där angriparna "varnade" användare om en föråldrad bankapp, vilket uppmanade dem att uppdatera omedelbart. Användarna uppmanades sedan att välja nästa steg på det numeriska tangentbordet. Efter att ha tryckt på rätt knapp skickades en nätfiske-URL till dem via SMS.
"Enligt våra upptäckter skickades de falska URL-adresserna till slumpmässiga tjeckiska telefonnummer. Meddelandet innehöll en nätfiske-länk och text som angriparna använde för att manipulera offret att klicka på länken. Den skadliga kampanjen spreds även genom registrerade annonser på Metas sociala medieplattformar, som Instagram och Facebook. Dessa annonser krävde en åtgärd, som att ladda ner en uppdatering som ett begränsat erbjudande för användare,Osmani förklarar.
När det gäller Android-plattformen dök två ytterligare, olika meddelanden upp efter att man klickat på den skadliga URL-adressen. varianty av denna nätfiskeattack – antingen en högkvalitativ nätfiskesida som imiterar den officiella butikssidan Google Play med en bankapplikation att ladda ner, eller en imitation av en webbplats som återigen visar möjligheten att ladda ner en bankapplikation. I nästa steg uppmanades offren att installera den "nya versionen" av bankapplikationen.
Du kan vara intresserad av
Användare varnades inte för nätfiskeappen under installationen
Den beskrivna nätfiskekampanjen och dess metoder är endast möjliga tack vare teknologin för progressiva webbapplikationer - PWA. PWA:er är byggda med hjälp av traditionell webbapplikationsteknik som kan fungera över flera plattformar och enheter. WebAPK-applikationer kan då betraktas som högre versioner av progressiva webbapplikationer. Webbläsare Chrome genererar en native Android APK från en PWA. WebAPK-appar ser då ut som vanliga native appar, det vill säga appar som är utformade för endast ett operativsystem – i det här fallet ser de ut som native appar för Android-plattformen. Dessutom utlöser installation av en WebAPK-app inom denna nätfiskekampanj inga varningar om att "installera en app från en opålitlig källa". En sådan app kommer även att installeras om installation av tredjepartsappar inte är tillåten.
Enligt ESET-analytiker låg två olika grupper av angripare bakom kampanjerna. En grupp använde en bot på den sociala plattformen Telegram för att registrera all information som offren angav i en gruppchatt. chatvia det officiella Telegram API. Den andra gruppen använde en traditionell C&C-server med annonsministratifieringspanelen.
"Baserat på det faktum att angriparna använde två olika förvaltningsinfrastrukturer i de upptäckta kampanjerna, är det troligt att två separata grupper av angripare låg bakom nätfiskekampanjerna mot tjeckiska banker.avslutar Osmani från ESET.
De flesta av de analyserade fallen ägde rum i Tjeckien, endast två nätfiskeapplikationer dök upp utanför den tjeckiska regionen, särskilt i Ungern och Georgien. All känslig information som ESET-analytiker fångade i dessa fall skickades omedelbart till de berörda bankerna för vidare bearbetning. ESET hjälpte också till med borttagningen av flera nätfiskedomäner och kontrollservrar.
