2024-8-22 16:45| 发布者: 西瓜太郎| 查看: 118| 评论: 0
| ESET的研究人员发现了一种针对Android和iPhone用户的罕见网络钓鱼活动。他们分析了一起针对捷克一家知名银行客户的案件。  PWA 网络钓鱼流程 这种技术值得注意,因为它从第三方网站安装钓鱼应用程序,而用户不必允许安装第三方应用程序。在Android上,这可能会导致一种特殊APK的静默安装,甚至看起来是从Google Play商店安装的。该威胁也针对iOS用户。 针对iOS的钓鱼网站指示受害者在其主屏幕上添加渐进式Web应用程序(PWA),而在Android上,PWA是在浏览器中确认自定义弹出窗口后安装的。在这一点上,这些钓鱼应用程序在很大程度上与它们在两个操作系统上模仿的真实银行应用程序没有区别。 PWA本质上是捆绑在感觉像独立应用程序中的网站,使用本机系统提示可以增强这种感觉。与网站一样,PWA是跨平台的,这解释了这些PWA网络钓鱼活动如何针对iOS和Android用户。ESET品牌情报服务的ESET分析师在捷克观察到了这项新技术,该服务负责监控针对客户品牌的威胁。 分析威胁的ESET研究员Jakub Osmani表示:“对于iPhone用户来说,这样的行为可能会打破任何关于安全的‘围墙花园’假设。”。 ESET通过电话、短信和恶意广告发现钓鱼诈骗 ESET分析师发现了一系列针对移动用户的网络钓鱼活动,这些活动使用了三种不同的URL传递机制。这些机制包括自动语音通话、短信和社交媒体恶意广告。语音呼叫传递是通过自动呼叫完成的,该呼叫会警告用户一个过时的银行应用程序,并要求用户在数字键盘上选择一个选项。 按下正确按钮后,将通过短信发送钓鱼URL,如推文中所报道的那样。最初通过短信发送的信息是不加选择地发送到捷克的电话号码。发送的消息包括一个网络钓鱼链接和一条短信,让受害者通过社交工程访问该链接。恶意活动通过Instagram和Facebook等Meta平台上的注册广告传播。这些广告包括一个行动呼吁,比如为“下载下面的更新”的用户提供有限的优惠 在打开第一阶段提供的URL后,Android受害者会看到两个不同的活动,要么是模仿目标银行应用程序的官方Google Play商店页面的高质量钓鱼页面,要么是该应用程序的模仿网站。从这里开始,受害者被要求安装银行应用程序的“新版本”。 WebAPKs绕过安全警告 网络钓鱼活动和方法之所以成为可能,是因为渐进式网络应用程序的技术。简而言之,PWA是使用传统web应用程序技术构建的应用程序,可以在多个平台和设备上运行。 WebAPKs可以被视为渐进式网络应用程序的升级版本,因为Chrome浏览器会从PWA生成一个原生Android应用程序:换句话说,就是APK。这些WebAPK看起来像常规的原生应用程序。此外,安装WebAPK不会产生任何“从不可信来源安装”的警告。如果不允许从第三方来源安装,该应用程序甚至会被安装。 一个小组使用Telegram机器人通过官方Telegram API将所有输入的信息记录到Telegram小组聊天中,而另一个小组则使用带有管理面板的传统指挥控制(C&C)服务器。Osmani总结道:“基于这些活动使用了两个不同的C&C基础设施的事实,我们确定有两个独立的团体正在对几家银行进行PWA/WebAPK网络钓鱼活动。”。大多数已知案例发生在捷克,只有两个钓鱼应用程序出现在国外(特别是匈牙利和格鲁吉亚)。 ESET研究发现的关于此事的所有敏感信息都被及时发送给受影响的银行进行处理。ESET还协助删除了多个钓鱼域名和C&C服务器。 |
