Аналітики виробника програмного забезпечення для захисту інформації ESET виявили новий метод фішингу, який використовує технологію прогресивних вебзастосунків (PWA) для атак на користувачів Android та iOS. Більшість виявлених випадків стосувалися клієнтів чеських банків, але також були зафіксовані атаки на банки в Угорщині та Грузії.
Як зазначається у дослідженні компанії, зловмисники поширюють фішингові посилання через автоматизовані голосові дзвінки, SMS-повідомлення та рекламу в соціальних мережах. Жертв спонукають встановити фальшиві банківські застосунки, які виглядають майже ідентично справжнім.
PWA, що є гібридами звичайної вебсторінки та мобільного застосунку (фактично браузер, який відкриває сайт, що імітує вигляд застосунку) використовуються зловмисниками через крос-платформність, легкість встановлення, схожість з нативними застосунками, доступ до API браузера, а також можливість офлайн-роботи. Ці особливості дозволяють створювати переконливі фішингові застосунки, які важко відрізнити від легітимних.
На Android пристроях фішингові застосунки можуть встановлюватися як WebAPK, обходячи стандартні попередження браузера. Вони виглядають як звичайні нативні застосунки й навіть відображаються як встановлені з Google Play. На iOS користувачам пропонують додати PWA на головний екран. Після встановлення жертв просять ввести облікові дані інтернет-банкінгу, які потім передаються на сервери зловмисників.
Перші випадки такого фішингу були виявлені в листопаді 2023 року, а активність продовжувалась щонайменше до травня 2024 року. Більшість виявлених випадків стосувалася клієнтів чеських банків.
Аналітики зафіксували атаку на великий чеський банк, де зловмисники використовували рекламу в Facebook для поширення фішингових посилань. Ця реклама містила офіційний логотип банку та його талісман — блакитного хамелеона (ймовірно, Чехословацький торговельний банк або ČSOB). Крім того, були виявлені два випадки атак за межами Чехії: один, націлений проти угорського банку OTP Bank, а інший — проти грузинського TBC Bank в лютому 2024 року.
За поширення фішингових додатків відповідальні щонайменше дві різні групи зловмисників, які використовують відмінну інфраструктуру керування та контролю. Перша група застосовувала бот Telegram для реєстрації всієї введеної інформації в груповому чаті Telegram через офіційний API Telegram. Друга група використовувала традиційний C&C сервер з адміністративною панеллю.
Друга група також відповідальна за кампанію, пов’язану зі шкідливим ПЗ NGate для Android. Дослідники ESET виявили оператор-панель на C&C сервері, яка містила конфіденційну інформацію жертв, активні фішингові URL-адреси та повну історію відвідувань жертв. Після деактивації першого C&C домену, зловмисники продовжували створювати нові домени та навіть підготували абсолютно нову шкідливу кампанію, керовану з тієї ж панелі.