Pozor! Nova tehnika lažnega predstavljanja cilja na uporabnike mobilnega bančništva s sofisticiranimi spletnimi aplikacijami

Pojavila se je nova in zaskrbljujoča tehnika lažnega predstavljanja, ki resno ogroža uporabnike mobilnega bančništva na platformah iOS in Android. Glede na nedavno opozorilo prodajalca proti zlonamerni programski opremi ESET kibernetski kriminalci izkoriščajo progresivne spletne aplikacije (PWA) in spletne APK-je, da zaobidejo varnostne ukrepe in ukradejo občutljive bančne poverilnice.

Kako deluje napad

Ta nova kampanja lažnega predstavljanja izkorišča prilagodljivost PWA, ki so spletne aplikacije, zasnovane tako, da izgledajo in delujejo kot izvorne aplikacije. PWA od uporabnikov ne zahtevajo, da omogočijo namestitev aplikacij tretjih oseb, zaradi česar so videti manj sumljivi. Kibernetski kriminalci uporabnikom iOS-a naročajo, naj te PWA dodajo na domače zaslone, medtem ko morajo uporabniki Androida potrditi pojavna okna po meri v svojih brskalnikih, kar vodi do namestitve teh zavajajočih aplikacij.

Za uporabnike Androida se grožnja stopnjuje z uporabo WebAPK-jev. To so v bistvu nadgrajeni programi PWA, ki posnemajo videz in vedenje zakonitih aplikacij, pri čemer uporabnike pogosto preslepijo, da verjamejo, da so jih prenesli iz Googla Play. ESET-ova raziskava poudarja, da ti WebAPK-ji ne sprožijo običajnih varnostnih opozoril, tudi če uporabnik ni dovolil namestitve aplikacij iz neznanih virov. Ko so nameščene, se te zlonamerne aplikacije neopazno zlijejo z uporabnikovo napravo ter prikazujejo ikone in informacije, ki nakazujejo, da gre za uradne bančne aplikacije.

Metode distribucije

Distribucija teh aplikacij za lažno predstavljanje je orkestrirana s kombinacijo avtomatiziranih glasovnih klicev, zlorabe družbenih medijev in sporočil SMS. Uporabniki so zvabljeni, da kliknejo povezave, ki jih usmerijo na lažna spletna mesta, ki so podobna uradnim trgovinam z aplikacijami ali na spletno mesto ciljne banke. Nato so pozvani, da namestijo nekaj, kar se zdi posodobitev za njihovo aplikacijo za mobilno bančništvo.

Po namestitvi te aplikacije zahtevajo uporabniške poverilnice za prijavo pod pretvezo dostopa do njihovega bančnega računa. Ne da bi uporabnik vedel, se te občutljive informacije takoj pošljejo napadalčevim strežnikom za ukaze in nadzor (C&C).

Grožnja pokrajina

ESET-ova preiskava kaže, da se je ta kampanja lažnega predstavljanja verjetno začela novembra 2023, pri čemer so C&C strežniki postali aktivni do marca 2024. Medtem ko je bil glavni poudarek na uporabnikih mobilnega bančništva na Češkem, so bili napadi usmerjeni tudi na posameznike na Madžarskem in v Gruziji. ESET je za temi napadi identificiral dva ločena akterja groženj, ki uporabljata podobne tehnike za ogrožanje uporabnikov.

Poleg tega obstaja vse večja zaskrbljenost, da bodo ti napadalci razširili svoj arzenal z razvojem več aplikacij za posnemanje. Zaradi prefinjenosti teh PWA-jev in WebAPK-jev so še posebej nevarni, saj se skoraj ne razlikujejo od zakonitih bančnih aplikacij.

Zaščitite se pred grožnjo

Z vzponom takšnih naprednih tehnik lažnega predstavljanja je bolj kot kdaj koli prej, da uporabniki ostanejo pozorni. Tukaj je nekaj korakov, s katerimi se lahko zaščitite:

1. Bodite previdni pri nameščanju aplikacij : izogibajte se nameščanju aplikacij, ki ne prihajajo neposredno iz uradnih trgovin z aplikacijami. Če ste pozvani, da namestite aplikacijo ali posodobitev prek povezave, najprej preverite njeno legitimnost.
2. Pazite na nenavadne zahteve : bodite previdni pri kateri koli aplikaciji, ki zahteva občutljive podatke, kot so poverilnice za prijavo ali bančni podatki, še posebej, če trdi, da je posodobitev.
3. Bodite obveščeni : Bodite na tekočem z najnovejšimi novicami o varnosti in zagotovite, da je varnostna programska oprema vaše naprave posodobljena za zaznavanje in blokiranje tovrstnih groženj.

Ta nova tehnika lažnega predstavljanja poudarja razvijajoče se taktike kibernetskih kriminalcev in potrebo po večji ozaveščenosti uporabnikov. Ker se meja med zakonitimi in goljufivimi aplikacijami še naprej briše, je vaša najboljša obramba obveščenost in previdnost.