Események
Új technikát alkalmaznak a csalók az iOS és Android felhasználók megtévesztésére
Az utóbbi kilenc hónapban a phishing kampányok egy eddig nem látott módszert használnak a mobil operációs rendszerek védelmi mechanizmusainak megkerülésére. Az új cél az, hogy a felhasználókat egy rosszindulatú alkalmazás telepítésére csábítsák, amely egy hivatalos banki alkalmazásnak álcázza magát.
Az iOS és Android operációs rendszerek védelmi mechanizmusai arra szolgálnak, hogy megakadályozzák a felhasználókat abban, hogy érzékeny adataik, például jelszavaik ellopására alkalmas alkalmazásokat telepítsenek. Az iOS az App Store-on kívül eső alkalmazások telepítését blokkolja, míg az Android alapértelmezetten csak a Google Play áruházból elérhető alkalmazásokat engedélyezi.
Jakub Osmani, az ESET biztonsági cég elemzője elmondta: „Ez a technika figyelemre méltó, mert harmadik féltől származó weboldalról telepít egy phishing alkalmazást, anélkül, hogy a felhasználónak engedélyeznie kellene a harmadik féltől származó alkalmazások telepítését.”
Az új módszer a Progressive Web App (PWA) telepítésére épít, amely a webes szabványokat használja, így az alkalmazás viselkedése és megjelenése hasonlít egy natív alkalmazáséra. A PWA-k elméletben bármilyen platformon működnek, ami megfelel a webes szabványoknak, így az iOS és Android rendszereken is egyaránt.
A támadás általában egy szöveges üzenet, automatikus hívás vagy egy rosszindulatú hirdetés formájában érkezik, majd a célpontok egy, az App Store-ra vagy Google Play-re hasonlító oldalt nyitnak meg. Ezután a felhasználókat arra kérik, hogy telepítsenek egy „új verziót” a banki alkalmazásból, amely valójában egy rosszindulatú program.
A telepítés után a felhasználók a banki adataik megadására ösztönöznek, amelyeket azonnal eljuttatnak a támadók szervereire. A módszer hatékonyságát növeli, hogy az alkalmazás információk azt mutatják, hogy a WebAPK-k a Google Play-ből lettek telepítve, és nincsenek rendszerszintű jogosultságaik.
Jelenleg az ESET tudomása szerint a technikát főként a cseh bankok ügyfelei ellen használják, de egyre inkább megjelenik Magyarországon is.
Érdekesség: A Progressive Web App technológia lehetővé teszi, hogy az alkalmazások offline is működjenek, így a felhasználók internetkapcsolat nélkül is hozzáférhetnek az általuk kedvelt szolgáltatásokhoz.
Források: ESET, Jakub Osmani nyilatkozatai