ESET-onderzoekers ontdekten een ongewoon type phishingcampagne gericht op mobiele gebruikers en analyseerden een in het wild waargenomen situatie die zich richtte op klanten van een prominente Tsjechische bank. Deze techniek is opmerkelijk omdat het een phishingapplicatie installeert vanaf een website van derden zonder dat de gebruiker de installatie van apps van derden hoeft toe te staan. Op Android kon dit resulteren in de stille installatie van een speciaal soort APK, die zelfs geïnstalleerd lijkt te zijn vanuit de Google Play store. De dreiging was ook gericht op iPhone (iOS) gebruikers.
De phishingwebsites die zich richten op iOS geven slachtoffers instructies om een Progressive Web Application (PWA) toe te voegen aan hun startscherm, terwijl op Android de PWA wordt geïnstalleerd na het bevestigen van aangepaste pop-ups in de browser. Op dit moment zijn deze phishing-apps op beide besturingssystemen grotendeels niet te onderscheiden van de echte bankieren-apps die ze imiteren. PWA's zijn in wezen websites gebundeld in wat aanvoelt als een op zichzelf staande applicatie, waarbij dit gevoel wordt versterkt door het gebruik van native systeemprompts. PWA's zijn, net als websites, platformonafhankelijk, wat verklaart waarom deze PWA phishing campagnes zowel op iOS als Android gebruikers gericht kunnen zijn. De nieuwe techniek werd in Tsjechië waargenomen door ESET-analisten die werken aan de ESET Brand Intelligence Service, die dreigingen bewaakt die gericht zijn op het merk van een klant.
“Voor iPhone-gebruikers kan een dergelijke actie alle 'walled garden'-aannames over beveiliging doorbreken”, zegt ESET-onderzoeker Jakub Osmani, die de dreiging analyseerde.
ESET-analisten ontdekten een reeks phishing-campagnes gericht op mobiele gebruikers en maaktendie gebruik maakten van drie verschillende URL-leveringsmechanismen. Deze mechanismen omvatten geautomatiseerde spraakoproepen, sms-berichten en kwaadaardige advertenties op sociale media. Het afleveren van spraakoproepen gebeurt via een geautomatiseerd gesprek dat de gebruiker waarschuwt voor een verouderde bankieren-app en de gebruiker vraagt om een optie te selecteren op het numerieke toetsenbord. Nadat de juiste knop is ingedrukt, wordt een phishing-URL verzonden via sms, zoals werd gemeld in een tweet. De eerste aflevering via SMS SMS werd willekeurig naar Tsjechische telefoonnummers verstuurd. Dit SMS-bericht bevatte een phishing-link en tekst om slachtoffers te verleiden de link te bezoeken. De schadelijke campagne werd tevens verspreid via geregistreerde advertenties op Meta-platforms zoals Instagram en Facebook. Deze advertenties bevatten een call-to-action, zoals een beperkte aanbieding voor gebruikers die “onderstaande update downloaden”.
Na het openen van de URL die in de eerste fase werd geleverd, krijgen Android-slachtoffers twee verschillende campagnes te zien:een phishingpagina van hoge kwaliteit die de officiële Google Play-winkelpagina voor de beoogde bankapplicatie nabootst, of een nagemaakte website voor die applicatie. Vanaf hier worden slachtoffers gevraagd om een “nieuwe versie” van de bankapplicatie te installeren.
De phishingcampagne en -methode zijn alleen mogelijk dankzij de technologie van progressieve webtoepassingen. Kort gezegd zijn PWA's applicaties die gebouwd zijn met behulp van traditionele webapplicatietechnologieën die op meerdere platforms en apparaten kunnen draaien. WebAPK's kunnen worden beschouwd als een verbeterde versie van progressieve webapps, omdat de Chrome-browser een native Android-toepassing genereert van een PWA: met andere woorden, een APK. Deze WebAPK's zien eruit als gewone native apps. Bovendien levert het installeren van een WebAPK geen enkele waarschuwing op voor“installatie van een niet-vertrouwde bron”. De app wordt zelfs geïnstalleerd als installatie vanaf bronnen van derden niet is toegestaan.
Eén groep gebruikte een Telegram bot om alle ingevoerde informatie te registreren in een Telegram groepschat via de officiële Telegram API, terwijl een andere groep een traditionele Command & Control (C&C) server gebruikte met een administratief paneel. “Op basis van het feit dat de campagnes twee verschillende C&C-infrastructuren gebruikten, hebben we vastgesteld dat twee verschillende groepen de PWA/WebAPK phishingcampagnes tegen Tsjechische en andere banken uitvoerden,” concludeert Osmani. De meeste bekende gevallen vonden plaats in Tsjechië, met slechts twee phishingtoepassingen daarbuiten (met name in Hongarije en Georgië).
Alle gevoelige informatie die bij het onderzoek van ESET over deze zaak werd gevonden, werd onmiddellijk naar de getroffen banken gestuurd voor verwerking. ESET hielp ook bij het uitschakelen van meerdere phishingdomeinen en C&C-servers.