ESET(反恶意软件供应商)发出警告,一种针对iOS和Android用户的新型钓鱼攻击正在利用进阶网络应用(PWA)和WebAPKs,模拟合法银行软件以绕过安全保护,窃取登录凭证。
在iOS和Android平台上,网络犯罪分子利用PWA,这些是伪装成独立应用程序的网站,而在Android平台上,他们还使用了WebAPKs,这些WebAPKs看起来像是从Google Play安装的本地应用程序。
PWA是使用网络应用技术构建的,能够在各种平台和设备上运行,不需要用户允许第三方应用安装。观察到的攻击中,iOS用户被指示将PWA添加到主屏幕,而Android用户则必须在浏览器中确认某些自定义弹窗后,才会安装该应用。
WebAPKs可以被视为升级版的PWA,它们看起来像普通的本地应用程序,即使用户没有允许从第三方来源安装应用,Android设备也不会触发任何警告。此外,这些应用程序的信息标签还会声称它们是从Google Play下载的。
这次钓鱼活动的幕后黑手结合了自动语音电话、社交媒体恶意广告和短信消息,分发了指向托管这些欺诈应用程序的第三方网站的链接。打开钓鱼链接后,会出现一个模仿Google Play/Apple Store页面或目标银行应用程序官方网站的页面。
用户随后会被提示安装新版银行应用程序,实际上却安装了恶意程序,而设备上不会显示任何安全警告。一旦钓鱼PWA或WebAPK安装完成,其图标会被添加到用户的主屏幕上,点击打开后直接进入钓鱼登录页面。
“安装后,受害者会被提示提交其网络银行凭证,以通过新的移动银行应用程序访问账户。所有提交的信息都会被发送到攻击者的C&C服务器上,”ESET在一份记录发现的报告中表示。
据ESET称,这些钓鱼攻击可能始于2023年11月,而指挥与控制(C&C)服务器在2024年3月开始收集信息。在某些情况下,攻击者还使用了Telegram机器人收集用户信息。
攻击主要针对捷克共和国的移动银行用户,但也观察到针对匈牙利和格鲁吉亚用户的攻击。
根据发现的C&C基础设施,ESET认为至少有两个不同的威胁行为者在使用这一新策略进行钓鱼攻击。此外,ESET警告说,攻击者可能会扩展其武器库,增加更多仿冒应用程序,因为这些应用程序很难与合法应用程序区分开来。