Uważaj! Nowa technika phishingu atakuje użytkowników bankowości mobilnej za pomocą zaawansowanych aplikacji internetowych
Pojawiła się nowa i niepokojąca technika phishingu, stanowiąca poważne zagrożenie dla użytkowników bankowości mobilnej na platformach iOS i Android. Według niedawnego ostrzeżenia dostawcy oprogramowania antywirusowego ESET cyberprzestępcy wykorzystują Progressive Web Applications (PWA) i WebAPK, aby ominąć środki bezpieczeństwa i ukraść poufne dane uwierzytelniające do bankowości.
Spis treści
Jak działa atak
Ta nowa kampania phishingowa wykorzystuje elastyczność PWA, czyli aplikacji internetowych zaprojektowanych tak, aby wyglądały i działały jak aplikacje natywne. PWA nie wymagają od użytkowników włączania instalacji aplikacji innych firm, dzięki czemu wydają się mniej podejrzane. Cyberprzestępcy instruują użytkowników iOS, aby dodali te PWA do swoich ekranów głównych, podczas gdy użytkownicy Androida są proszeni o potwierdzenie niestandardowych wyskakujących okienek w swoich przeglądarkach, co prowadzi do instalacji tych oszukańczych aplikacji.
W przypadku użytkowników Androida zagrożenie wzrasta wraz z korzystaniem z WebAPK. Są to zasadniczo ulepszone PWA, które naśladują wygląd i zachowanie legalnych aplikacji, często oszukując użytkowników, którzy wierzą, że pobrali je z Google Play. Badania ESET podkreślają, że te WebAPK nie wyzwalają zwykłych ostrzeżeń bezpieczeństwa, nawet jeśli użytkownik nie zezwolił na instalację aplikacji z nieznanych źródeł. Po zainstalowaniu te złośliwe aplikacje płynnie wtapiają się w urządzenie użytkownika, wyświetlając ikony i informacje sugerujące, że są to oficjalne aplikacje bankowe.
Metody dystrybucji
Dystrybucja tych aplikacji phishingowych jest organizowana za pomocą kombinacji zautomatyzowanych połączeń głosowych, złośliwego marketingu w mediach społecznościowych i wiadomości SMS. Użytkownicy są wabieni do klikania linków, które kierują ich do fałszywych stron internetowych przypominających oficjalne sklepy z aplikacjami lub stronę internetową docelowego banku. Następnie są proszeni o zainstalowanie tego, co wydaje się być aktualizacją ich aplikacji bankowości mobilnej.
Po zainstalowaniu aplikacje te żądają od użytkownika danych logowania pod pretekstem dostępu do konta bankowego. Nieświadomy użytkownik natychmiast wysyła te poufne informacje do serwerów poleceń i kontroli (C&C) atakujących.
Krajobraz zagrożeń
Śledztwo ESET wskazuje, że ta kampania phishingowa prawdopodobnie rozpoczęła się w listopadzie 2023 r., a serwery C&C stały się aktywne do marca 2024 r. Podczas gdy główny nacisk położono na użytkowników bankowości mobilnej w Czechach, ataki były również skierowane do osób na Węgrzech i w Gruzji. ESET zidentyfikował dwóch odrębnych aktorów zagrożeń stojących za tymi atakami, z których każdy używa podobnych technik, aby narazić użytkowników na szwank.
Co więcej, rośnie obawa, że ci atakujący rozszerzą swój arsenał, opracowując więcej aplikacji naśladujących. Wyrafinowanie tych PWA i WebAPK sprawia, że są one szczególnie niebezpieczne, ponieważ mogą być niemal nie do odróżnienia od legalnych aplikacji bankowych.
Ochrona przed zagrożeniem
Wraz ze wzrostem tak zaawansowanych technik phishingu, użytkownicy muszą być czujni bardziej niż kiedykolwiek. Oto kilka kroków, które możesz podjąć, aby się chronić:
- Zachowaj ostrożność przy instalowaniu aplikacji : Unikaj instalowania aplikacji, które nie pochodzą bezpośrednio z oficjalnych sklepów z aplikacjami. Jeśli zostaniesz poproszony o zainstalowanie aplikacji lub aktualizacji za pośrednictwem łącza, najpierw sprawdź jej legalność.
- Uważaj na nietypowe prośby : zachowaj ostrożność w przypadku aplikacji, które proszą o podanie poufnych informacji, takich jak dane logowania lub dane bankowe, zwłaszcza jeśli podają się za aktualizację.
- Bądź na bieżąco : Bądź na bieżąco z najnowszymi informacjami o bezpieczeństwie i upewnij się, że oprogramowanie zabezpieczające Twojego urządzenia jest aktualne, aby wykrywać i blokować tego rodzaju zagrożenia.
Ta nowa technika phishingu podkreśla ewoluujące taktyki cyberprzestępców i potrzebę zwiększonej świadomości wśród użytkowników. Ponieważ granica między legalnymi i oszukańczymi aplikacjami nadal się zaciera, najlepszą obroną jest pozostanie poinformowanym i ostrożnym.