Mag-ingat! Tinatarget ng Bagong Phishing Technique ang mga User ng Mobile Banking gamit ang Mga Sopistikadong Web Application
Lumitaw ang isang bago at may kinalaman sa phishing technique, na nagdudulot ng malubhang banta sa mga user ng mobile banking sa parehong iOS at Android platform. Ayon sa isang kamakailang babala mula sa anti-malware vendor na ESET, ang mga cybercriminal ay gumagamit ng Progressive Web Applications (PWAs) at WebAPKs upang i-bypass ang mga hakbang sa seguridad at magnakaw ng mga sensitibong kredensyal sa pagbabangko.
Talaan ng mga Nilalaman
Paano Gumagana ang Pag-atake
Sinasamantala ng bagong phishing campaign na ito ang flexibility ng mga PWA, na mga web application na idinisenyo upang magmukhang at gumana tulad ng mga native na app. Hindi hinihiling ng mga PWA ang mga user na paganahin ang mga pag-install ng third-party na app, na ginagawang hindi gaanong kahina-hinala ang mga ito. Ang mga cybercriminal ay nagtuturo sa mga user ng iOS na idagdag ang mga PWA na ito sa kanilang mga home screen, habang ang mga user ng Android ay hinihiling na kumpirmahin ang mga custom na pop-up sa kanilang mga browser, na humahantong sa pag-install ng mga mapanlinlang na application na ito.
Para sa mga gumagamit ng Android, ang banta ay tumataas sa paggamit ng mga WebAPK. Ang mga ito ay mahalagang mga na-upgrade na PWA na ginagaya ang hitsura at gawi ng mga lehitimong app, kadalasang niloloko ang mga user sa paniniwalang na-download nila ang mga ito mula sa Google Play. Itinatampok ng pananaliksik ng ESET na ang mga WebAPK na ito ay hindi nagti-trigger ng karaniwang mga babala sa seguridad, kahit na hindi pinahintulutan ng user ang pag-install ng mga app mula sa mga hindi kilalang pinagmulan. Kapag na-install na, ang mga nakakahamak na application na ito ay tuluy-tuloy na nagsasama sa device ng user, na nagpapakita ng mga icon at impormasyon na nagmumungkahi na ang mga ito ay opisyal na banking app.
Mga Paraan ng Pamamahagi
Ang pamamahagi ng mga phishing application na ito ay isinaayos sa pamamagitan ng kumbinasyon ng mga automated na voice call, social media malvertising, at mga SMS na mensahe. Naakit ang mga user sa pag-click sa mga link na nagdidirekta sa kanila sa mga pekeng website na kahawig ng mga opisyal na tindahan ng app o website ng naka-target na bangko. Pagkatapos ay ipo-prompt sila na i-install ang tila isang update para sa kanilang mobile banking app.
Sa pag-install, hinihiling ng mga app na ito ang mga kredensyal sa pag-log in ng user sa ilalim ng pagkukunwari ng pag-access sa kanilang banking account. Lingid sa kaalaman ng gumagamit, ang sensitibong impormasyong ito ay agad na ipinadala sa mga server ng command-and-control (C&C) ng mga umaatake.
Ang Landscape ng Banta
Isinasaad ng pagsisiyasat ng ESET na ang kampanyang phishing na ito ay malamang na nagsimula noong Nobyembre 2023, kung saan ang mga server ng C&C ay magiging aktibo noong Marso 2024. Bagama't ang pangunahing pagtuon ay sa mga user ng mobile banking sa Czech Republic, ang mga pag-atake ay naka-target din sa mga indibidwal sa Hungary at Georgia. Natukoy ng ESET ang dalawang magkahiwalay na aktor ng pagbabanta sa likod ng mga pag-atake na ito, bawat isa ay gumagamit ng mga katulad na pamamaraan upang ikompromiso ang mga user.
Dagdag pa rito, lumalaki ang pag-aalala na palalawakin ng mga attacker na ito ang kanilang arsenal sa pamamagitan ng pagbuo ng higit pang mga application ng copycat. Ang pagiging sopistikado ng mga PWA at WebAPK na ito ay ginagawang partikular na mapanganib ang mga ito, dahil halos hindi sila makilala sa mga lehitimong banking app.
Pagprotekta sa Iyong Sarili mula sa Banta
Sa pagtaas ng mga advanced na diskarte sa phishing, mas kritikal kaysa dati para sa mga user na manatiling mapagbantay. Narito ang ilang hakbang na maaari mong gawin upang protektahan ang iyong sarili:
- Maging maingat sa mga pag-install ng app : Iwasang mag-install ng mga app na hindi direktang nagmumula sa mga opisyal na app store. Kung sinenyasan na mag-install ng app o isang update sa pamamagitan ng isang link, i-verify muna ang pagiging lehitimo nito.
- Mag-ingat sa mga hindi pangkaraniwang kahilingan : Mag-ingat sa anumang app na humihiling ng sensitibong impormasyon, gaya ng mga kredensyal sa pag-log in o mga detalye ng pagbabangko, lalo na kung sinasabi nitong isang update.
- Manatiling may kaalaman : Panatilihing napapanahon sa pinakabagong balita sa seguridad at tiyaking naa-update ang software ng seguridad ng iyong device upang matukoy at ma-block ang mga ganitong uri ng pagbabanta.
Binibigyang-diin ng bagong pamamaraan ng phishing na ito ang mga umuusbong na taktika ng mga cybercriminal at ang pangangailangan para sa mas mataas na kamalayan sa mga user. Habang patuloy na lumalabo ang linya sa pagitan ng mga lehitimong at mapanlinlang na aplikasyon, ang pananatiling may kaalaman at maingat ang iyong pinakamahusay na depensa.