PWA网络钓鱼针对Android、iOS金融欺诈活动
在捷克共和国、匈牙利和格鲁吉亚的金融欺诈活动中,最近发现了一种复杂的移动网络钓鱼技术。
这种网络钓鱼方法利用渐进式Web应用程序PWA,提供类似本机应用程序的体验,主要在Android和iOS设备上出现。
这种新型的网络钓鱼技术之所以能够实施,是利用PWA的工作特性诱导用户下载并运行恶意软件,而无需用户明确允许第三方手机应用的安装。
在iOS上,网络钓鱼网站冒充知名应用程序的登录页面,并指示受害者将PWA添加到他们的主屏幕。
在登录页面建立之前,某个威胁通过修改PWA的清单文件,使得PWA能够独立运行,并且其行为与普通的移动应用相似。
在Android设备上,当用户在浏览器中确认了自定义的弹出窗口后,PWA会被安装。这会导致用户静默地安装Web Android包工具包(WebAPK)。
WebAPK是一种特殊类型的APK,即标准的Android应用程序文件,可以被视为PWA的升级版本。这种升级是因为Chrome浏览器从PWA生成原生Android应用程序。
在2023年11月,ESET观察到针对几家捷克银行、匈牙利OTP银行和格鲁吉亚TBC银行的移动网络钓鱼活动,在这些活动中,攻击者使用了一种特定的技术,并且这种技术是与标准的网络钓鱼传递技术一起使用的。
语音呼叫传送:自动呼叫警告用户过时的银行应用程序,并要求用户在数字键盘上选择一个选项。按下正确的按钮后,将通过短信发送网络钓鱼URL。
恶意广告投放:在Instagram和Facebook等Meta平台上发布号召性用语的广告,例如为下载更新用户提供优惠。
2024年3月,研究人员首次发现了控制网络钓鱼应用的C2服务器。服务器中的数据表明,3月之前可能并未运行。
根据C2服务器和后端基础设施的分析,研究人员得出结论,至少有两个不同的威胁行动者在操作这些网络钓鱼活动。