捷克共和国的移动用户是新型网络钓鱼活动的目标,该活动利用渐进式 Web 应用程序 (PWA) 试图窃取他们的银行账户凭证。据斯洛伐克网络安全公司ESET称,这些攻击针对的是捷克的Československá obchodní银行(CSOB),以及匈牙利OTP银行和格鲁吉亚TBC银行。安全研究员 Jakub Osmani 说:“针对 iOS 的网络钓鱼网站指示受害者将渐进式 Web 应用程序 (PWA) 添加到他们的主屏幕,而在 Android 上,PWA 是在确认浏览器中的自定义弹出窗口后安装的。“在这一点上,在两种操作系统上,这些网络钓鱼应用程序与它们模仿的真实银行应用程序基本上没有区别。这种策略值得注意的是,用户被欺骗从第三方站点安装 PWA,在某些情况下甚至在 Android 上安装 WebAPK,而无需明确允许侧加载。对所使用的命令和控制 (C2) 服务器和后端基础设施的分析表明,两个不同的威胁参与者是这些活动的幕后黑手。这些网站通过自动语音通话、短信和通过 Facebook 和 Instagram 的社交媒体恶意广告进行分发。语音呼叫会警告用户有关过时的银行应用程序,并要求他们选择一个数字选项,然后发送网络钓鱼 URL。最终点击该链接的用户会看到一个相似的页面,该页面模仿目标银行应用程序的 Google Play 商店列表,或该应用程序的模仿网站,最终导致以应用程序更新为幌子“安装”PWA 或 WebAPK 应用程序。Osmani解释说:“这个关键的安装步骤绕过了传统的浏览器警告’安装未知应用程序’:这是Chrome的WebAPK技术的默认行为,该技术被攻击者滥用。此外,安装 WebAPK 不会产生任何“从不受信任的来源安装”警告。对于使用 Apple iOS 设备的用户,提供了将虚假的 PWA 应用程序添加到主屏幕的说明。该活动的最终目标是捕获在应用程序上输入的银行凭据,并将其泄露到攻击者控制的 C2 服务器或 Telegram 群聊中。ESET表示,它在2023年11月初记录了第一个通过PWA的网络钓鱼实例,随后在2024年3月和5月检测到了波次。此次披露之际,网络安全研究人员发现了Gigabud Android木马的一种新变种,该木马通过模仿Google Play商店的网络钓鱼网站或冒充各种银行或政府实体的网站进行传播。“该恶意软件具有各种功能,例如收集有关受感染设备的数据,泄露银行凭证,收集屏幕录像等,”博通旗下的赛门铁克说。在此之前,Silent Push 还发现了 24 个不同的控制面板,用于各种 Android 银行木马,例如 ERMAC、BlackRock、Hook、Loot 和 Pegasus(不要与 NSO Group 的同名间谍软件混淆),这些木马由名为 DukeEugene 的威胁行为者操作。
