ESET odhalil finančné podvody s využitím progresívnych webových aplikácií zameraných na Android aj iOS používateľov

• ESET odhalil podvody, v rámci ktorých útočníci skombinovali štandardné techniky doručovania phishingu s novou metódou phishingu, ktorá sa zameriava na používateľov Androidu a iPhonu (iOS) prostredníctvom progresívnych webových aplikácií PWA a na Androide aj prostredníctvom webového balíka aplikácie WebAPK.
• Inštalácie PWA/WebAPK aplikácií neobsahujú upozornenia pre používateľa týkajúce sa inštalácie aplikácie tretej strany.
• Na Androide sa tieto podvodné WebAPK dokonca javia ako nainštalované z obchodu Google Play.
• Väčšina analyzovaných aplikácií sa zameriavala na klientov českých bánk, ale ESET zaznamenal aj aplikácie zamerané na banky v Maďarsku a Gruzínsku.
• Na základe využívaných riadiacich C&C serverov a backendovej infraštruktúry spoločnosť ESET dospela k záveru, že tieto kampane majú na svedomí dvaja rôzni aktéri.
• ESET informoval banky obetí s cieľom ochrániť ich a pomohol so stiahnutím viacerých phishingových domén a C&C serverov.

Výskumníci spoločnosti ESET odhalili nezvyčajný typ phishingovej kampane zameranej na mobilných používateľov a analyzovali reálny prípad, ktorý bol zameraný na klientov významnej českej banky. Táto technika je pozoruhodná, pretože inštaluje phishingovú aplikáciu z webovej stránky tretej strany bez toho, aby to používateľ povolil. V systéme Android to môže viesť k tichej inštalácii špeciálneho druhu webového balíka aplikácie APK, ktorý sa dokonca tvári, že je nainštalovaný z obchodu Google Play. Hrozba sa zameriavala aj na používateľov zariadení iPhone (iOS).

Phishingové webstránky zamerané na iOS dávajú obetiam pokyn, aby si na domovskú obrazovku pridali progresívnu webovú aplikáciu (PWA), zatiaľ čo v systéme Android sa PWA nainštaluje po potvrdení vlastných vyskakovacích okien v prehliadači. V tomto momente sú tieto phishingové aplikácie v oboch operačných systémoch zväčša nerozoznateľné od skutočných bankových aplikácií, ktoré napodobňujú. PWA sú v podstate webové stránky spojené do balíka, ktorý pôsobí ako samostatná aplikácia, pričom tento pocit je umocnený použitím natívnych systémových výziev. PWA, rovnako ako webové stránky, sú multiplatformové, čo vysvetľuje, ako sa tieto phishingové kampane môžu zamerať na používateľov iOS aj Androidu. Novú techniku zaznamenali v Česku analytici spoločnosti ESET pracujúci na službe ESET Brand Intelligence Service, ktorá poskytuje monitorovanie hrozieb zameraných na značku klienta.

„Pre používateľov iPhonu môže takáto akcia prelomiť všetky predpoklady o bezpečnosti vychádzajúce z uzavretosti platformy,“ hovorí výskumník spoločnosti ESET Jakub Osmani, ktorý hrozbu analyzoval.

Analytici spoločnosti ESET odhalili sériu phishingových kampaní zameraných na mobilných používateľov, ktoré využívali tri rôzne mechanizmy doručovania URL adries. Medzi tieto mechanizmy patria automatické hlasové hovory, SMS správy a škodlivá reklama na sociálnych sieťach. Doručovanie hlasových hovorov sa uskutočňuje prostredníctvom automatizovaného telefonátu, ktorý používateľa upozorňuje na neaktuálnu bankovú aplikáciu a žiada ho, aby vybral možnosť na numerickej klávesnici. Po stlačení správneho tlačidla sa prostredníctvom SMS odošle podvodná adresa URL. Prvotné doručenie prostredníctvom SMS sa uskutočnilo odoslaním správ na české telefónne čísla. Odoslaná správa obsahovala phishingový odkaz a text, ktorý mal obete sociálnym inžinierstvom prinútiť navštíviť odkaz. Škodlivá kampaň sa tiež šírila prostredníctvom registrovaných reklám na platformách Meta, ako sú Instagram a Facebook. Tieto reklamy obsahovali výzvu na akciu, napríklad limitovanú ponuku pre používateľov, ktorí si „stiahnu aktualizáciu nižšie“.

Po otvorení adresy URL doručenej v prvej fáze sa obetiam so systémom Android zobrazia dve rôzne kampane, a to buď vysokokvalitná phishingová stránka imitujúca oficiálnu stránku obchodu Google Play pre cieľovú bankovú aplikáciu, alebo napodobenina webovej stránky tejto aplikácie. Tam sú obete požiadané o inštaláciu „novej verzie“ bankovej aplikácie.

Táto phishingová kampaň a metóda je možná len vďaka technológii progresívnych webových aplikácií. Zjednodušene, PWA sú aplikácie vytvorené pomocou tradičných technológií webových aplikácií, ktoré môžu fungovať na viacerých platformách a zariadeniach. WebAPK možno považovať za vylepšenú verziu progresívnych webových aplikácií, keďže prehliadač Chrome generuje z PWA natívnu aplikáciu pre Android: inými slovami APK. Tieto WebAPK vyzerajú ako bežné natívne aplikácie. Okrem toho inštalácia WebAPK nepodnecuje žiadne z varovaní „inštalácia z nedôveryhodného zdroja“. Aplikácia sa dokonca nainštaluje, ak inštalácia zo zdrojov tretích strán nie je povolená.

Jedna skupina použila Telegram bota na zaznamenávanie všetkých zadaných informácií do skupinového chatu Telegramu prostredníctvom oficiálneho rozhrania API Telegramu, zatiaľ čo iná skupina použila tradičný riadiaci C&C server s administratívnym panelom. „Na základe skutočnosti, že kampane používali dve rôzne infraštruktúry C&C, sme vyhodnotili, že phishingové kampane PWA/WebAPK proti niekoľkým bankám prevádzkovali dve samostatné skupiny,“ uzatvára Osmani. Väčšina známych prípadov sa odohrala v Česku, len dve phishingové aplikácie sa objavili mimo krajiny (konkrétne v Maďarsku a Gruzínsku).

Všetky citlivé informácie zistené výskumníkmi spoločnosti ESET v tejto veci boli okamžite zaslané dotknutým bankám. ESET tiež pomáhal pri odstraňovaní viacerých phishingových domén a C&C serverov.

Viac technických informácií v anglickom jazyku nájdete v našom špeciálnom blogu na stránke WeLiveSecurity. Najnovšie odhalenia našich výskumníkov nájdete na sieti X (niekdajší Twitter) ESET Research.

O spoločnosti ESET

ESET® poskytuje špičkové digitálne zabezpečenie, ktoré zabraňuje útokom ešte pred ich uskutočnením. Vďaka kombinácii sily umelej inteligencie a ľudských skúseností si ESET udržiava náskok pred známymi aj vznikajúcimi kybernetickými hrozbami - chráni firmy, kritickú infraštruktúru aj jednotlivcov. Či už ide o ochranu koncových bodov, cloudu alebo mobilných zariadení, naše riešenia a služby založené na AI a cloude zostávajú vysoko efektívne a ľahko použiteľné. Technológie ESET zahŕňajú robustnú detekciu a reakciu, mimoriadne bezpečné šifrovanie a viacfaktorovú autentifikáciu. Vďaka nepretržitej ochrane v reálnom čase a silnej lokálnej podpore zabezpečujeme bezpečnosť používateľov a nepretržitý chod firiem. Neustále sa vyvíjajúce digitálne prostredie si vyžaduje progresívny prístup k bezpečnosti. Prioritou spoločnosti ESET je výskum na svetovej úrovni a výkonnej analýze hrozieb, ktorú podporujú výskumné a vývojové centrá a silná globálna partnerská sieť. Viac informácií nájdete na stránke www.eset.sk, prípadne nás môžete sledovať na sociálnych sieťach LinkedIn, Facebook a X.