This post is also available in:
English (אנגלית)
קמפיין פישינג חדש ומתוחכם פועל נגד משתמשי אנדרואיד ו iOS-על ידי ניצול טכניקה שעוקפת בחוכמה את מנגנוני האבטחה. התקיפות משפיעות בעיקר על משתמשים במזרח אירופה ומשתמשות ביישומי אינטרנט מתקדמים (PWAs) כדי לייצר מראה של אפליקציה בנקאית לגיטימית. בעוד ש-iOS בדרך כלל מגבילה התקנות אפליקציות צד-שלישי, ומשתמשי אנדרואיד צריכים לאשר באופן מפורש אפליקציות כאלה, עברייני סייבר הצליחו להשתמש ב-PWAs כדי לעקוף את המחסומים הללו.
PWAsהם למעשה דפי אינטרנט שבנויים כדי להיראות כמו אפליקציות מקוריות על המכשיר. דפים זדוניים אלה "מתחפשים" ליישומים בנקאיים אמיתיים, מה שמוביל את המשתמשים לאתרי פישינג שנראים כמו אפליקציות הבנק שלהם. בהצהרה של, ESET החברה הדגישה שמדובר במגמה, וציינה כי הקמפיין הנוכחי, שהחל להשפיע על אזרחי צ'כיה, כולל בקשה מזויפת לעדכון האפליקציות הבנקאיות. כפי שדווח ב-CyberNews, הקורבנות מוצפים בשיחות טלפון אוטומטיות, הודעות SMS ומודעות זדוניות במדיה החברתית. מבצעי פישינג דומים נצפו בפולין, הונגריה וגאורגיה.
התקיפה מתרחשת בכמה שלבים: תחילה, נוכלים משתמשים בקישורים זדוניים המופצים באמצעות הודעות סמס, מודעות במדיה חברתית או שיחות אוטומטיות הדורשות ממשתמשים לעדכן את האפליקציות הבנקאיות שלהם. לחיצה על קישורים אלה מפנה את המשתמשים לאתרי פישינג המחקים את חנות Google Play או אתרי בנקאות פופולריים. אתרים אלה נועדו להיראות אותנטיים, ורק כתובת ה-URL שלהם שונה מהמקורית וחושפת שמדובר בהונאה.
הקורבנות מתבקשים להתקין "גרסה חדשה" של האפליקציה הבנקאית שלהם, שהיא למעשה PWA זדונית או WebAPK. עבור משתמשי אנדרואיד, האפליקציה הזדונית יכולה להיות WebAPK או PWA ואילו עבור משתמשי iOS היא יכולה להיות רק PWA. שני הסוגים של אפליקציות מזויפות אלה מוסיפים אייקונים למסך הבית ופותחים דפי אינטרנט כשלוחצים עליהם, אשר נראים כמו אפליקציה. באופן מטריד, ההתקנה של PWA/WebAPK אינה מעלה אזהרה בטלפון לגבי הורדת אפליקציות של צד שלישי.
לאחר ההתקנה, היישום המזויף מראה דף כניסה שנראה כמו האמיתי אך למעשה מיועד לפישינג. גם אם משתמשי אנדרואיד בודקים את פרטי האפליקציה, היא מציינת באופן שגוי שהאפליקציה הורדה מחנות Google Play. חוקרי ESET גילו כי שתי קבוצות נפרדות עומדות מאחורי קמפיין זה, אך כל אחת משתמשת בתשתיות שליטה ובקרה שונות (C&C). קבוצה אחת משתמשת בבוט טלגרם כדי לאסוף את המידע שהוזן, בעוד שהקבוצה השנייה משתמשת בשרת C&C מסורתי עם לוח מנהלי.
החוקרים הזהירו בנקים רלוונטיים ותיאמו את ההסרה של כמה דומייני פישינג ושרתי C&C. ככל שטכניקת פישינג זו צוברת תאוצה, צפויים לצוץ עוד PWAs זדוניים. בנוסף, מכיוון ש-PWAs יכולים לבקש גישה לפונקציות דפדפן שונות כמו המיקרופון והמצלמה, קיים חשש לגבי שימוש בכך כדי להתקין תוכנות ריגול. ESET מזהירה כי היכולות של PWAs עלולות להוות סיכונים משמעותיים אם הן מנוצלות למטרות זדוניות.
