Мошенники научились обходить защиту Android и iOS при помощи веб-приложений

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.223
Репутация
11.695
Реакции
61.957
RUB
50
Создатели фишинговых мошеннических схем нашли способ обходить механизмы, направленные против приложений, которые предназначены для кражи личной информации.

Эти меры не работают против прогрессивных веб-приложений (Progressive Web App — PWA), чьи привилегии ниже, и возможности — скромнее.

 Источник изображения: Gerd Altmann / pixabay.com


На iOS разрешена установка приложений только из App Store, а на Android по умолчанию можно устанавливать приложения только из Google Play — при попытке использовать другой источник система выводит предупреждение.

Обнаруженные за последние девять месяцев фишинговые кампании имеют своей целью обманом заставить жертву установить вредоносное приложение, которое маскируется под официальный банковский клиент. После установки оно крадёт данные учётной записи и в реальном времени отправляет их злоумышленнику через Telegram, предупреждают эксперты компании .

При атаке на пользователей iOS используется традиционное PWA — разработанный злоумышленниками веб-сайт открывается не через браузер, а с имитацией полноценного приложения; пользователей Android в некоторых случаях обманом заставляют устанавливать его особый подвид — WebAPK.

Атака начинается, когда потенциальная жертва получает текстовое сообщение, звонок робота или переходит по ссылке вредоносной рекламы на Facebook или Instagram . Открыв ссылку, они попадают на страницу, имитирующую магазин приложений App Store или Google Play.

В случае с iOS установка PWA немного отличается от процедуры установки стандартного приложения — пользователю показывается всплывающее окно с инструкциями по установке, имитирующее системное сообщение платформы. Если же пользователь Android установил WebAPK через Google Play, то его бдительность усыпляется тем, что в описании говорится об отсутствии у приложения системных привилегий.

В любом случае после установки пользователю предлагается ввести свои учётные данные для доступа к онлайн-банку, и вся введённая информация отправляется на подконтрольный мошенникам сервер.

Новая схема пока применяется преимущественно в Чехии, но уже отмечены инциденты в Венгрии и Грузии. Эксперты по кибербезопасности предполагают, что число подобных инцидентов будет расти, а их география — расширяться.


 
Аналитики и ESET , что злоумышленники используют Progressive Web Application (PWA), чтобы выдать себя за банковские приложения и похищать учетные данные у пользователей Android и iOS.


Прогрессивные веб-приложения (PWA) представляют собой кроссплатформенные приложения, которые устанавливаются прямо из браузера и обладают возможностями оригинальных приложений, включая поддержку push-уведомлений, доступ к аппаратному обеспечению устройства и фоновую синхронизация данных.


Схема атаки

Использование этого типа приложений в фишинговых кампаниях позволяет уклоняться от обнаружения, обходить ограничения на установку приложений из недовершенных источников и получать доступ к опасным разрешениям на устройстве, при этом не показывая пользователю стандартный запрос, который может вызвать у жертвы подозрения.

Впервые хакеры начали применять эту технику в июле 2023 года, атакуя пользователей из Польши, а следующая кампания стартовала в ноябре того же года, и уже была нацелена на чешских пользователей.

«Фишинговые сайты, нацеленные на iOS, инструктируют жертв добавить прогрессивное веб-приложение (PWA) на домашний экран, тогда как в Android PWA устанавливается после подтверждения кастомных всплывающих окон в браузере, — сообщают исследователи. — На данный момент фишинговые приложения практически неотличимы от настоящих банковских приложений, которые они имитируют в обеих ОС».


Фишинговое WebAPK (слева) и реальное банковское приложение (справа)

Эксперты пишут, что в настоящее время отслеживают две такие кампании: одна нацелена на венгерское финансовое учреждение OTP Bank, а другая — на TBC Bank в Грузии. При этом исследователи считают, что эти кампании управляются разными злоумышленниками. Так, одна хак-группа использует отдельную управляющую инфраструктуру для получения украденных учетных данных, тогда как другая группировка переправляет ворованные данные через Telegram.

Злоумышленники применяют самые разные методы для распространения своей малвари, включая автоматические звонки, SMS-сообщения и вредоносную рекламу в социальных сетях, включая Facebook* и Instagram*.

В первых двух случаях атакующие обманывают пользователей, сообщая им, что банковское приложение устарело, и в целях безопасности необходимо срочно установить новую версию. Предоставленный хакерами URL-адрес используется для загрузки фишингового PWA.

В случае с вредоносной рекламой в социальных сетях хакеры используют официальный маскот банка (для создания у пользователей ложного ощущения легитимности) и рекламируют якобы ограниченные по времени предложения, например, предлагая денежные вознаграждения за установку обновлений.


Вредоносная реклама

В зависимости от устройства жертвы (проверяется по HTTP-заголовку User-Agent) при клике на такую рекламу пользователь попадает на фальшивую страницу, имитирующую магазин Google Play или App Store. При нажатии на кнопку «Установить» пользователю будет предложено установить вредоносное PWA, выдающее себя за приложение банка. Также в некоторых случаях на Android вредоносное приложение устанавливается в виде WebAPK.


Фишинговая имитация Google Play Store

Так как PWA созданы для работы на разных платформах, злоумышленники получают возможность воздействовать на более широкую аудиторию с помощью одной фишинговой кампании и полезной нагрузки. Кроме того, такая тактика позволяет обходить ограничения Google и Apple на установку приложений из неофициальных источников, избегая предупреждений об установке из ненадежных источников, которые могут предупредить жертву о потенциальных рисках.

Исследователи подчеркивают, что PWA могут в точности имитировать внешний вид и функциональность нативных приложений (особенно в случае WebAPK), а логотип браузера на иконке и интерфейс браузера внутри приложения будут скрыты, поэтому отличить их от настоящих приложений будет крайне трудно.


Фальшивое WebAPK (слева) и страница входа в фишинговое приложение (справа)

В итоге приложения злоумышленников могут получить доступ к различным системам устройства через API браузера, включая геолокацию, камеру и микрофон, не запрашивая для этого разрешений. Также PWA могут быть обновлены или изменены хакерами без участия пользователя, что позволяет динамически корректировать фишинговую кампанию.

ESET предупреждает, что злоупотребление PWA для фишинга — это опасная тенденция, которая может быстро набрать популярность, когда киберпреступники осознают весь потенциал и преимущества этой тактики.


 
  • Теги
    ios защита android
  • Сверху Снизу