Výskumníci odhalili nezvyčajný typ phishingovej kampane zameranej na mobilných používateľov.
Analyzovali reálny prípad, ktorý bol zameraný na klientov významnej českej banky. Táto technika je pozoruhodná, pretože inštaluje phishingovú aplikáciu z webstránky tretej strany bez toho, aby to používateľ povolil. V systéme Android to môže viesť k tichej inštalácii špeciálneho druhu webového balíka aplikácie APK, ktorý sa dokonca tvári, že je nainštalovaný z obchodu Google Play.
Hrozba sa zameriavala aj na používateľov zariadení iPhone (iOS). Phishingové webstránky zamerané na iOS dávajú obetiam pokyn, aby si na domovskú obrazovku pridali progresívnu webovú aplikáciu (PWA), zatiaľ čo v systéme Android sa PWA nainštaluje po potvrdení vlastných vyskakovacích okien v prehliadači. V tomto momente sú tieto phishingové aplikácie v oboch operačných systémoch zväčša nerozoznateľné od skutočných bankových aplikácií, ktoré napodobňujú.
PWA sú v podstate webstránky spojené do balíka, ktorý pôsobí ako samostatná aplikácia, pričom tento pocit je umocnený použitím natívnych systémových výziev. PWA, rovnako ako webstránky, sú multiplatformové, čo vysvetľuje, ako sa tieto phishingové kampane môžu zamerať na používateľov iOS aj Androidu. Novú techniku zaznamenali v Česku analytici.
Pre používateľov iPhonu môže takáto akcia prelomiť všetky predpoklady o bezpečnosti vychádzajúce z uzavretosti platformy. Analytici odhalili sériu phishingových kampaní zameraných na mobilných používateľov, ktoré využívali tri rôzne mechanizmy doručovania URL adries. Medzi tieto mechanizmy patria automatické hlasové hovory, SMS správy a škodlivá reklama na sociálnych sieťach.
Doručovanie hlasových hovorov sa uskutočňuje prostredníctvom automatizovaného telefonátu, ktorý používateľa upozorňuje na neaktuálnu bankovú aplikáciu a žiada ho, aby vybral možnosť na numerickej klávesnici. Po stlačení správneho tlačidla sa prostredníctvom SMS odošle podvodná adresa URL. Prvotné doručenie prostredníctvom SMS sa uskutočnilo odoslaním správ na české telefónne čísla.
Odoslaná správa obsahovala phishingový odkaz a text, ktorý mal obete sociálnym inžinierstvom prinútiť navštíviť odkaz. Škodlivá kampaň sa tiež šírila prostredníctvom registrovaných reklám na platformách Meta, ako sú Instagram a Facebook. Tieto reklamy obsahovali výzvu na akciu, napríklad limitovanú ponuku pre používateľov, ktorí si „stiahnu aktualizáciu nižšie“.
Po otvorení adresy URL doručenej v prvej fáze sa obetiam so systémom Android zobrazia dve rôzne kampane, a to buď vysokokvalitná phishingová stránka imitujúca oficiálnu stránku obchodu Google Play pre cieľovú bankovú aplikáciu, alebo napodobenina webstránky tejto aplikácie. Tam sú obete požiadané o inštaláciu „novej verzie“ bankovej aplikácie.
Táto phishingová kampaň a metóda je možná len vďaka technológii progresívnych webových aplikácií. Zjednodušene, PWA sú aplikácie vytvorené pomocou tradičných technológií webových aplikácií, ktoré môžu fungovať na viacerých platformách a zariadeniach. WebAPK možno považovať za vylepšenú verziu progresívnych webových aplikácií, keďže prehliadač Chrome generuje z PWA natívnu aplikáciu pre Android: inými slovami APK.
Tieto WebAPK vyzerajú ako bežné natívne aplikácie. Okrem toho inštalácia WebAPK nepodnecuje žiadne z varovaní „inštalácia z nedôveryhodného zdroja“. Aplikácia sa dokonca nainštaluje, ak inštalácia zo zdrojov tretích strán nie je povolená. Jedna skupina použila Telegram bota na zaznamenávanie všetkých zadaných informácií do skupinového chatu Telegramu prostredníctvom oficiálneho rozhrania API.
Zatiaľ čo iná skupina použila tradičný riadiaci C&C server s administratívnym panelom. Na základe skutočnosti, že kampane používali dve rôzne infraštruktúry C&C, analytici vyhodnotili situáciu tak, že phishingové kampane PWA/WebAPK proti niekoľkým bankám prevádzkovali dve samostatné skupiny. Väčšina známych prípadov sa odohrala v Česku, len dve phishingové aplikácie sa objavili mimo krajiny (konkrétne v Maďarsku a Gruzínsku).
Všetky citlivé informácie zistené výskumníkmi v tejto veci boli okamžite zaslané dotknutým bankám. Výskumníci taktiež pomáhali pri odstraňovaní viacerých phishingových domén a C&C serverov.
