Attenzione! Una nuova tecnica di phishing prende di mira gli utenti di Mobile Banking con applicazioni Web sofisticate

È emersa una nuova e preoccupante tecnica di phishing, che rappresenta una seria minaccia per gli utenti di mobile banking su piattaforme iOS e Android. Secondo un recente avviso del fornitore anti-malware ESET, i criminali informatici stanno sfruttando le Progressive Web Application (PWA) e le WebAPK per aggirare le misure di sicurezza e rubare credenziali bancarie sensibili.

Come funziona l'attacco

Questa nuova campagna di phishing sfrutta la flessibilità delle PWA, ovvero applicazioni web progettate per apparire e funzionare come app native. Le PWA non richiedono agli utenti di abilitare l'installazione di app di terze parti, il che le rende meno sospette. I criminali informatici stanno chiedendo agli utenti iOS di aggiungere queste PWA alle loro schermate iniziali, mentre agli utenti Android viene chiesto di confermare i pop-up personalizzati nei loro browser, il che porta all'installazione di queste applicazioni ingannevoli.

Per gli utenti Android, la minaccia aumenta con l'uso di WebAPK. Si tratta essenzialmente di PWA aggiornate che imitano l'aspetto e il comportamento di app legittime, spesso ingannando gli utenti facendogli credere di averle scaricate da Google Play. La ricerca di ESET evidenzia che queste WebAPK non attivano i soliti avvisi di sicurezza, anche se l'utente non ha consentito l'installazione di app da fonti sconosciute. Una volta installate, queste applicazioni dannose si fondono perfettamente nel dispositivo dell'utente, visualizzando icone e informazioni che suggeriscono che si tratti di app bancarie ufficiali.

Metodi di distribuzione

La distribuzione di queste applicazioni di phishing è orchestrata tramite una combinazione di chiamate vocali automatizzate, malvertising sui social media e messaggi SMS. Gli utenti vengono indotti a cliccare su link che li indirizzano a siti Web falsi che assomigliano agli app store ufficiali o al sito Web della banca presa di mira. Vengono quindi invitati a installare quello che sembra essere un aggiornamento per la loro app di mobile banking.

Dopo l'installazione, queste app richiedono le credenziali di accesso dell'utente con il pretesto di accedere al suo conto bancario. All'insaputa dell'utente, queste informazioni sensibili vengono immediatamente inviate ai server di comando e controllo (C&C) degli aggressori.

Il panorama delle minacce

L'indagine di ESET indica che questa campagna di phishing è probabilmente iniziata a novembre 2023, con i server C&C che sono diventati attivi entro marzo 2024. Mentre l'attenzione principale è stata rivolta agli utenti di mobile banking nella Repubblica Ceca, gli attacchi hanno preso di mira anche individui in Ungheria e Georgia. ESET ha identificato due diversi attori delle minacce dietro questi attacchi, ognuno dei quali utilizza tecniche simili per compromettere gli utenti.

Inoltre, c'è una crescente preoccupazione che questi aggressori amplieranno il loro arsenale sviluppando più applicazioni imitatrici. La sofisticatezza di queste PWA e WebAPK le rende particolarmente pericolose, in quanto possono essere quasi indistinguibili dalle app bancarie legittime.

Proteggersi dalla minaccia

Con l'avvento di tecniche di phishing così avanzate, è più che mai fondamentale che gli utenti rimangano vigili. Ecco alcuni passaggi che puoi adottare per proteggerti:

1. Fai attenzione alle installazioni di app : evita di installare app che non provengono direttamente dagli app store ufficiali. Se ti viene chiesto di installare un'app o un aggiornamento tramite un link, verificane prima la legittimità.
2. Fai attenzione alle richieste insolite : fai attenzione a qualsiasi app che richieda informazioni sensibili, come credenziali di accesso o dati bancari, soprattutto se afferma di essere un aggiornamento.
3. Rimani informato : rimani aggiornato sulle ultime novità in materia di sicurezza e assicurati che il software di sicurezza del tuo dispositivo sia aggiornato per rilevare e bloccare questo tipo di minacce.

Questa nuova tecnica di phishing sottolinea le tattiche in evoluzione dei criminali informatici e la necessità di una maggiore consapevolezza tra gli utenti. Mentre il confine tra applicazioni legittime e fraudolente continua a sfumare, restare informati e cauti è la tua migliore difesa.