Pozor! Nová technika phishingu cílí na uživatele mobilního bankovnictví pomocí sofistikovaných webových aplikací

Objevila se nová a znepokojivá technika phishingu, která představuje vážnou hrozbu pro uživatele mobilního bankovnictví na platformách iOS i Android. Podle nedávného varování od dodavatele antimalwaru ESET využívají kyberzločinci progresivní webové aplikace (PWA) a WebAPK k obcházení bezpečnostních opatření a odcizení citlivých bankovních přihlašovacích údajů.

Jak útok funguje

Tato nová phishingová kampaň využívá flexibility PWA, což jsou webové aplikace navržené tak, aby vypadaly a fungovaly jako nativní aplikace. PWA nevyžadují, aby uživatelé povolili instalace aplikací třetích stran, takže vypadají méně podezřele. Kyberzločinci instruují uživatele iOS, aby si tyto PWA přidali na své domovské obrazovky, zatímco uživatelé Androidu jsou požádáni, aby potvrdili vlastní vyskakovací okna ve svých prohlížečích, což povede k instalaci těchto klamavých aplikací.

Pro uživatele Androidu hrozba eskaluje s použitím WebAPK. Jedná se v podstatě o upgradovaná PWA, která napodobují vzhled a chování legitimních aplikací a často klamou uživatele, aby uvěřili, že si je stáhli z Google Play. Výzkum společnosti ESET zdůrazňuje, že tyto WebAPK nespouštějí obvyklá bezpečnostní varování, i když uživatel nepovolil instalaci aplikací z neznámých zdrojů. Po instalaci se tyto škodlivé aplikace hladce začlení do zařízení uživatele a zobrazí ikony a informace, které naznačují, že se jedná o oficiální bankovní aplikace.

Distribuční metody

Distribuce těchto phishingových aplikací je řízena kombinací automatických hlasových hovorů, malvertisí na sociálních sítích a SMS zpráv. Uživatelé jsou lákáni ke klikání na odkazy, které je nasměrují na falešné webové stránky připomínající oficiální obchody s aplikacemi nebo web cílené banky. Poté jsou vyzváni, aby si nainstalovali něco, co vypadá jako aktualizace pro jejich aplikaci mobilního bankovnictví.

Při instalaci tyto aplikace vyžadují přihlašovací údaje uživatele pod záminkou přístupu k jejich bankovnímu účtu. Aniž by o tom uživatel věděl, jsou tyto citlivé informace okamžitě odeslány na servery pro příkazy a řízení (C&C) útočníků.

Krajina ohrožení

Vyšetřování společnosti ESET ukazuje, že tato phishingová kampaň pravděpodobně začala v listopadu 2023, přičemž servery C&C budou aktivní do března 2024. Zatímco primární pozornost byla zaměřena na uživatele mobilního bankovnictví v České republice, útoky se zaměřily také na jednotlivce v Maďarsku a Gruzii. ESET identifikoval dva samostatné aktéry hrozeb za těmito útoky, z nichž každý používá podobné techniky ke kompromitaci uživatelů.

Navíc existuje stále větší obava, že tito útočníci rozšíří svůj arzenál vývojem dalších napodobovacích aplikací. Díky sofistikovanosti těchto PWA a WebAPK jsou obzvláště nebezpečné, protože mohou být téměř k nerozeznání od legitimních bankovních aplikací.

Chraňte se před hrozbou

Se vzestupem těchto pokročilých technik phishingu je důležitější než kdy jindy, aby uživatelé zůstali ostražití. Zde je několik kroků, kterými se můžete chránit:

1. Buďte opatrní při instalaci aplikací : Neinstalujte aplikace, které nepocházejí přímo z oficiálních obchodů s aplikacemi. Pokud se zobrazí výzva k instalaci aplikace nebo aktualizace prostřednictvím odkazu, ověřte nejprve její legitimitu.
2. Dejte si pozor na neobvyklé požadavky : Dejte si pozor na jakoukoli aplikaci požadující citlivé informace, jako jsou přihlašovací údaje nebo bankovní údaje, zejména pokud tvrdí, že jde o aktualizaci.
3. Zůstaňte informováni : Udržujte si aktuální informace o nejnovějších zprávách o zabezpečení a zajistěte, aby byl bezpečnostní software vašeho zařízení aktualizován, aby detekoval a blokoval tyto druhy hrozeb.

Tato nová technika phishingu podtrhuje vyvíjející se taktiku kyberzločinců a potřebu zvýšeného povědomí mezi uživateli. Protože se hranice mezi legitimními a podvodnými aplikacemi stále stírá, nejlepší obranou je zůstat informovaný a opatrný.