網站平台
威脅參與者開始使用漸進式Web應用程式來充值銀行應用程式並竊取Android和iOS用戶的資金。
漸進式Web應用程式(PWA)是跨平台應用程序,可直接從瀏覽器安裝,並透過推送通知、存取裝置硬體和後台資料同步等功能提供類似本機的體驗。
在網路釣魚活動中使用此類應用程式可以繞過繞過應用程式的安裝限制,並獲得對裝置上存在風險的存取權限,從而向使用者提供可能引起信任的標準提示。
該技術於 2023 年 7 月在波蘭首次在野外觀察到,並於同年 11 月針對捷克用戶的活動發起了。
網路安全公司ESET報告稱,目前正在追蹤依賴科技的兩項不同的活動,一個針對匈牙利金融機構OTP銀行,另一個針對喬治亞州的TBC銀行。
然而,這兩組活動似乎是由不同的威脅行為者發起的。
網站平台 感染鏈
ESET表示,這些活動依靠多種方法來接觸目標受眾,包括自動呼叫、簡訊(詐騙)以及Facebook廣告活動中提到的設計的惡意廣告。
在前兩種情況下,網路犯罪分子會利用假訊息欺騙用戶,稱其銀行應用程式已過時,並出於安全原因需要安裝最新版本,並提供下載網路釣魚 PWA 的 URL。
對於社群媒體上的惡意廣告,威脅行為者會利用冒充銀行的官方吉祥物來誘導合法感,並宣傳限時優惠,例如安裝所謂的關鍵應用程式計畫更新的金錢獎勵。
根據裝置(透過User-Agent HTTP標頭驗證),點選廣告有意受害者導向的Google Play或App Store頁面。
點擊「安裝」按鈕會提示使用者安裝冒充銀行應用程式的惡意 PWA。
該網路釣魚應用程式使用官方銀行應用程式的識別碼(例如看起來合法的登錄螢幕標誌),甚至聲明 Google Play 商店作為該應用程式的軟體來源。
網站平台 在行動裝置上使用 PWA 的吸引力
PWA 旨在跨多個平台工作,攻擊者可以利用單一網路釣魚活動和有效負載瞄準更廣泛的受眾。
關鍵的好處是繞過谷歌和蘋果對官方應用程式商店以外的應用程式的安裝限制,以及「從未知來源安裝」警告提示,可以提醒受害者潛在的風險。
PWA 程式可以嚴格模仿本機應用程式的外觀和感覺,尤其是在WebAPK 的情況下,圖示上的瀏覽器標誌和應用程式內的瀏覽器介面是隱藏的,因此幾乎不可能將其與合法的應用程序結合分開來。
這些網路應用程式可以穿透瀏覽器API存取各種裝置系統,例如斷層、攝影機和麥克風,而從行動作業系統的權限畫面請求它們。
最終,攻擊者可以在消耗用戶互動的情況下更新或修改 PWA,從而允許動態調整網路釣魚活動以獲得更大的成功。
竊取 PWA 進行網路釣魚是一種危險的新興趨勢,隨著越來越多的網路犯罪分子認識到其潛力和好處,這種趨勢可能會擴大到新的比例。
幾個月前,我們報道了使用 PWA 針對 Windows 帳戶的新網路釣魚工具包。表單來領取憑證。
BleepingComputer 已聯繫 Google 和 Apple,詢問他們是否計劃對 PWA/WebAPK 實施任何防禦,一旦收到回复,我們將用他們的回復更新這篇文章。