Фишинговые сайты используют PWA для кражи банковских данных
Пользователи мобильных устройств в Чешской Республике стали объектом новой фишинговой кампании, которая использует прогрессивные веб-приложения (PWA) для кражи банковских данных. По данным словацкой компании по кибербезопасности ESET, атаки были направлены на чешский банк ?eskoslovenská obchodní banka (CSOB), венгерский OTP Bank и грузинский TBC Bank.
Фишинговые сайты, нацеленные на устройства с операционными системами iOS и Android, обманывают пользователей, заставляя их устанавливать PWA или WebAPK на свои устройства. На iOS жертвам предлагается добавить PWA на домашний экран, тогда как на Android PWA устанавливается после подтверждения всплывающих окон в браузере. Фишинговые приложения практически неотличимы от настоящих банковских приложений, которые они имитируют.
Фишинговые сайты распространяются через автоматизированные голосовые вызовы, SMS-сообщения и вредоносную рекламу в социальных сетях. Голосовые вызовы предупреждают пользователей об устаревшем банковском приложении, после чего отправляется фишинговый URL. Пользователям, которые нажимают на ссылку, отображается страница, имитирующая страницу Google Play Retailer для целевого банковского приложения или сайт-копию приложения, что приводит к установке PWA или WebAPK под видом обновления приложения.
Этот метод установки обходит традиционные предупреждения браузера об установке неизвестных приложений, что является поведением по умолчанию технологии WebAPK Chrome, которую злоумышленники используют в своих целях. Более того, установка WebAPK не приводит к предупреждениям об установке из ненадёжного источника.
Конечная цель кампании — захватить банковские учетные данные, введенные в приложении, и передать их на контролируемый злоумышленником сервер C2 или в групповой чат Telegram. Пользователям, которые используют устройства Apple iOS, предоставляются инструкции по добавлению фиктивного приложения PWA на главный экран.
Компания ESET заявила, что зафиксировала первый случай фишинга через PWA в начале ноября 2023 года, а последующие волны были обнаружены в марте и мае 2024 года. Самый первый случай использования этой техники был отмечен в июле 2023 года.
Эта кампания появилась после обнаружения нового варианта трояна Gigabud для Android, который распространяется через фишинговые сайты, имитирующие Google Play Retailer или сайты, выдающие себя за различные банки или государственные учреждения. Вредоносное ПО обладает различными возможностями, такими как сбор данных о заражённом устройстве, кража банковских учётных данных и сбор записей экрана.
Анализ используемых серверов управления и контроля (C2) и внутренней инфраструктуры показывает, что за кампаниями стоят два разных субъекта угроз. Кроме того, было обнаружено 24 различных панели управления для различных банковских троянов Android, таких как ERMAC, BlackRock, Hook, Loot и Pegasus, которыми управляет злоумышленник по имени DukeEugene.