Хакеры начали использовать прогрессивные веб-приложения (PWA), выдавая их за легальные банковские приложения, чтобы красть учётные данные пользователей Android и iOS. Как сообщили в компании ESET, этот метод кибератак был впервые обнаружен в июле 2023 года в Польше, а последующая кампания, запущенная в ноябре того же года, была нацелена на чешских пользователей.
Компания ESET сообщила, что в настоящее время она отслеживает две отдельные киберпреступные кампании, использующие эту технику. Одна из них нацелена на венгерское финансовое учреждение OTP Bank, а другая — на TBC Bank в Грузии. Однако эти две киберпреступные кампании, по всей видимости, управляются разными хакерскими группами. Одна из них использует отдельную инфраструктуру командования и управления (C2) для получения украденных учётных данных, в то время как другая группа регистрирует украденные данные через Telegram.
Прогрессивные веб-приложения (PWA) — это кроссплатформенные приложения, которые можно устанавливать непосредственно из браузера. Они предлагают нативный интерфейс благодаря таким функциям, как push-уведомления, доступ к аппаратному обеспечению устройства и фоновая синхронизация данных. По данным ESET, хакеры используют широкий спектр методов для охвата целевой аудитории, включая автоматические звонки, SMS-сообщения (смишинг) и продуманную вредоносную рекламу в рекламных кампаниях в популярных соцсетях.
Киберпреступники обманывают пользователей, отправляя им поддельное сообщение о том, что их банковское приложение устарело и необходимо установить последнюю версию в целях безопасности, предоставляя при этом URL-адрес для загрузки фишингового PWA.
В случае вредоносной рекламы в социальных сетях злоумышленники используют поддельный официальный логотип банка, чтобы создать ощущение легитимности и продвигать ограниченные по времени предложения, такие как денежные вознаграждения за установку предположительно важного обновления приложения.
В зависимости от устройства, которое проверяется с помощью HTTP-заголовка User-Agent, нажатие на рекламу перенаправляет жертву на поддельную страницу Google Play или App Store. Нажатие кнопки «Установить» предлагает пользователю установить вредоносное PWA, выдающее себя за банковское приложение. В некоторых случаях на Android вредоносное приложение устанавливается в виде WebAPK — собственного APK, сгенерированного браузером Chrome.
Оригинал публикации на сайте CISOCLUB: "Хакеры крадут банковские данные пользователей iOS и Android через приложения PWA".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
