ESET研究人员发现了一种针对Android和iPhone用户的罕见网络钓鱼活动。他们分析了一个在野外观察到的案例,该案例针对一家著名的捷克银行的客户。
PWA 网络钓鱼流 (来源:ESET)
这种技术值得注意,因为它从第三方网站安装网络钓鱼应用程序,而用户不必允许安装第三方应用程序。在 Android 上,这可能会导致静默安装一种特殊类型的 APK,该 APK 甚至似乎是从 Google Play 商店安装的。该威胁也针对 iOS 用户。
针对 iOS 的网络钓鱼网站指示受害者将渐进式 Web 应用程序 (PWA) 添加到他们的主屏幕,而在 Android 上,PWA 是在确认浏览器中的自定义弹出窗口后安装的。在这一点上,这些网络钓鱼应用程序与它们在两种操作系统上模仿的真实银行应用程序基本上没有区别。
PWA 本质上是捆绑到感觉像独立应用程序中的网站,通过使用本机系统提示来增强这种感觉。PWA 与网站一样,是跨平台的,这解释了这些 PWA 网络钓鱼活动如何针对 iOS 和 Android 用户。在捷克,ESET分析师在ESET Brand Intelligence Service上观察到了这种新技术,该服务监控针对客户品牌的威胁。
“对于iPhone用户来说,这样的行动可能会打破任何关于安全性的’围墙花园’假设,”ESET研究员Jakub Osmani说,他分析了这一威胁。
ESET 发现使用电话、短信和恶意广告的网络钓鱼诈骗
ESET分析师发现了一系列针对移动用户的网络钓鱼活动,这些活动使用了三种不同的URL传递机制。这些机制包括自动语音通话、短信和社交媒体恶意广告。语音呼叫传递是通过自动呼叫完成的,该呼叫会警告用户有关过时的银行应用程序,并要求用户在数字键盘上选择一个选项。
按下正确的按钮后,将通过短信发送网络钓鱼 URL,正如推文中所报道的那样。最初的短信传递是通过不分青红皂白地向捷克电话号码发送消息来执行的。发送的消息包括一个网络钓鱼链接和文本,以社会工程受害者访问该链接。该恶意活动是通过 Instagram 和 Facebook 等 Meta 平台上的注册广告传播的。这些广告包含号召性用语,例如为“在下面下载更新”的用户提供有限的优惠。
打开第一阶段提供的 URL 后,Android 受害者会看到两个不同的活动,要么是模仿目标银行应用程序的官方 Google Play 商店页面的高质量网络钓鱼页面,要么是该应用程序的山寨网站。从这里,受害者被要求安装银行应用程序的“新版本”。
WebAPK 绕过安全警告
网络钓鱼活动和方法之所以成为可能,是因为采用了渐进式 Web 应用程序的技术。简而言之,PWA 是使用传统 Web 应用程序技术构建的应用程序,可以在多个平台和设备上运行。
WebAPK 可以被视为渐进式 Web 应用程序的升级版本,因为 Chrome 浏览器从 PWA 生成原生 Android 应用程序:换句话说,是一个 APK。这些 WebAPK 看起来像常规的原生应用程序。此外,安装 WebAPK 不会产生任何“从不受信任的来源安装”警告。如果不允许从第三方来源安装,则甚至会安装该应用程序。
一个小组使用Telegram机器人通过官方Telegram API将所有输入的信息记录到Telegram群聊中,而另一个小组则使用带有管理面板的传统命令与控制(C&C)服务器。Osmani总结说:“基于这些活动使用了两种不同的C&C基础设施这一事实,我们已经确定有两个独立的团体正在针对几家银行进行PWA / WebAPK网络钓鱼活动。大多数已知案例都发生在捷克,只有两个网络钓鱼应用程序出现在该国以外的地方(特别是在匈牙利和格鲁吉亚)。
ESET研究发现的有关此事的所有敏感信息均已立即发送给受影响的银行进行处理。ESET还协助关闭了多个网络钓鱼域和C&C服务器。
发表评论
您还未登录,请先登录。
登录