网络犯罪分子使用渐进式 Web 应用程序 (PWA) 来冒充银行应用程序并窃取移动用户的凭据。ESET 研究人员详细介绍了针对使用渐进式 Web 应用程序 (PWA) 的移动用户的网络钓鱼活动。威胁行为者使用的虚假应用程序与 iOS 和 Android 上的真实银行应用程序几乎没有区别。该技术于 2023 年 7 月在波兰首次披露,随后在捷克以及匈牙利和格鲁吉亚等其他国家观察到。该活动使用渐进式 Web 应用程序来冒充银行应用程序并窃取 Android 和 iOS 用户的凭据。渐进式 Web 应用程序 (PWA) 是使用 Web 平台技术构建的应用程序,但提供类似于特定于平台的应用程序的用户体验。该技术允许从第三方网站安装网络钓鱼应用程序,而无需用户启用第三方应用程序安装。对于 iOS 用户来说,这破坏了 “walled garden” 方法的通常安全假设。在 Android 上,它可能导致看似来自 Google Play 商店的 APK 的静默安装,从而进一步欺骗用户。针对 iOS 的网络钓鱼网站会指示受害者将渐进式 Web 应用程序 (PWA) 添加到他们的主屏幕,而在 Android 上,PWA 是在确认浏览器中的自定义弹出窗口后安装的。该技术于 2023 年 7 月在波兰首次披露,随后由 ESET 研究人员在捷克观察到,其他病例针对匈牙利和格鲁吉亚的银行。“阴险地,安装 PWA/WebAPK 应用程序并不会警告受害者安装第三方应用程序。在 Android 上,这些网络钓鱼 WebAPK 甚至似乎是从 Google Play 商店安装的。“ESET 发布的报告写道。“观察到的大多数应用程序都针对捷克银行的客户,但我们也观察到一个针对匈牙利银行的网络钓鱼应用程序,另一个针对格鲁吉亚银行的网络钓鱼应用程序。”对这些攻击中使用的 C2 服务器和后端基础设施的分析表明,两个不同的威胁行为者正在运营这些活动。ESET 发现的网络钓鱼活动通过三种不同的 URL 交付方式针对移动用户:自动语音通话、SMS 消息和社交媒体恶意广告。自动呼叫会警告用户过时的银行应用程序,并在用户按照提示发送后通过短信发送网络钓鱼 URL。SMS 活动不分青红皂白地将网络钓鱼链接发送到捷克电话号码。社交媒体恶意广告涉及 Instagram 和 Facebook 等平台上的广告,针对特定人群发出号召性用语。点击这些 URL 后,受害者被重定向到模仿官方应用商店的网络钓鱼页面,例如 Google Play 或 Apple Store。攻击者试图诱骗受害者安装其银行应用程序的虚假“新版本”。根据活动的不同,单击安装/更新按钮会直接在受害者的手机上触发恶意应用程序的安装。对于 Android 用户,这可以是 WebAPK,而对于 iOS 和 Android 用户,它可能是渐进式 Web 应用程序 (PWA)。安装过程不会触发有关未知应用程序的浏览器警告,从而利用 Chrome 的 WebAPK 技术。iOS 用户会看到一个弹出窗口,模拟本机提示,将网络钓鱼 PWA 添加到其主屏幕,没有任何警告。安装应用程序后,受害者被要求输入他们的银行凭证,然后将这些凭证发送到 C2 服务器。专家注意到,这些活动使用了两个不同的 C2 基础设施,这表明两个 dinstict 组织正在针对捷克和其他银行开展 PWA/WebAPK 网络钓鱼活动。一个组使用 Telegram 机器人通过官方 API 将输入的信息记录到 Telegram 群聊中,而另一个组则使用带有管理面板的传统 C2 服务器,该面板与 NGate Android 恶意软件活动相关联。“我们发现了一种新的网络钓鱼方法,将成熟的社会工程方法与 PWA 应用程序的跨平台技术相结合。还发现了针对 Android 用户的案例,特别是通过目标应用的 Google Play 商店页面的山寨页面并使用 WebAPK 技术。大多数已知案例都在捷克境内,只有两个网络钓鱼应用程序出现在该地区之外(匈牙利和格鲁吉亚)。“ESET 发布的报告总结道。“我们预计会创建和分发更多的山寨应用程序,因为安装后很难将合法应用程序与网络钓鱼应用程序区分开来。”
