Secondo una nuova ricerca, i clienti del settore bancario sono stati presi di mira da un nuovo metodo di attacchi di phishing.
Secondo un rapporto di ESET, gli attacchi si sono concentrati principalmente sugli utenti di iPhone e Android, inducendoli a scaricare inconsapevolmente Progressive Web Applications (PWA) camuffate da applicazioni autentiche.
Le PWA sono siti web realizzati per comportarsi come un'applicazione autonoma, con l'immagine apparentemente verificata dall'uso di prompt di sistema nativi. Le PWA aggirano la necessità per l'utente di consentire l'installazione da parte di terzi: i siti di phishing per iOS si spacciano per pagine di atterraggio di applicazioni popolari e indirizzano le vittime ad aggiungere la PWA alla loro schermata iniziale. In definitiva, le PWA si comportavano come una normale app mobile, ma eludendo l'autorizzazione all'installazione da parte di terzi su Android, portavano all'installazione silenziosa di Android Package Kit (APK), che all'utente appariva come installato tramite il Google Play Store.
Metodi di consegna
La campagna ha utilizzato tre diversi meccanismi di distribuzione degli URL: chiamata vocale, invio di SMS e Malvertising, con clienti in Repubblica Ceca, Ungheria e Georgia.
A seconda della campagna, il pulsante di installazione/aggiornamento avviava il download di un'applicazione dannosa direttamente sul telefono dell'utente, sotto forma di WebAPK (per i dispositivi Android) o di PWA. In questo modo si eludono i consueti avvisi del browser di "installazione di applicazioni sconosciute".
La chiamata vocale avvertiva la vittima di una presunta applicazione bancaria non aggiornata e la invitava a selezionare un'opzione numerata. Una volta fatto ciò, veniva inviato un URL di phishing.
La consegna di SMS ha inviato messaggi che includevano il link di phishing indiscriminatamente a numeri cechi, mentre la campagna pubblicitaria consisteva in annunci registrati su piattaforme Meta (come Facebook e Instagram). Gli annunci contenevano un invito all'azione per costringere le vittime, come ad esempio un'offerta a tempo limitato per coloro che "scaricano un aggiornamento qui sotto".
Recenti rapporti mostrano che attori di minacce simili utilizzano versioni falsificate di popolari applicazioni Android, con metodi sempre più sofisticati. Eset si aspetta di vedere emulatori di queste applicazioni, quindi si consiglia di rimanere vigili. Il modo migliore per mantenere i propri dati al sicuro è scaricare solo applicazioni da fonti legittime e diffidare di qualsiasi link inviato da persone sconosciute.
