ESET varuje před novou podobu phishingových kampaní zaměřenou na uživatele systémů Android a iOS. Kromě Čechů, na něž útok míří především, se pod palbou hackerů ovšem ocitli i Maďaři a Gruzínci.
Specifikem použité techniky přitom bylo, že se útočníkům podařilo přimět oběti k instalaci phishingových aplikací z webové stránky třetí strany, aniž by se oběť dozvěděla, že se jedná o aplikaci z neoficiálního zdroje. Na Androidu prostřednictvím APK (Android Application Package – softwarový balík pro distribuci a instalaci aplikací), u iOS pak prostřednictvím PWA (Progressive Web App – Progresivní webová aplikace).
„V případě obou platforem, Android i iOS, byly phishingové aplikace do značné míry nerozeznatelné od skutečných bankovních aplikací, které napodobují. PWA aplikace byly v podstatě webové stránky zabalené do zdánlivě samostatné aplikace, přičemž zdání její opravdovosti bylo podpořeno také využitím tzv. nativních systémových výzev – notifikací telefonu. PWA aplikace jsou, stejně jako webové stránky, dostupné pro různé operační systémy, což vysvětluje, jak mohou tyto phishingové kampaně cílit na uživatele platformy iOS i Android. Pro uživatele chytrých telefonů iPhone může taková kampaň nabourat zažité předpoklady o bezpečnosti ‚uzavřeného ekosystému‘ platformy iOS,“ říká Jakub Osmani, bezpečnostní analytik pražské výzkumné pobočky společnosti ESET, který novou phishingovou metodu analyzoval.
Útočníci mířili na uživatele systémů Android i iOS.
A jak útočníci dostali škodlivé webové adresy k obětem? Podle ESETu využili automatizované hlasové hovory, SMS zprávy a malvertising (škodlivá reklama) na sociálních sítích. Konkrétně útočníci „varovali“ uživatele před zastaralou bankovní aplikací a podněcovali je k okamžité aktualizaci. Uživatelé byli následně vyzváni, aby vybrali následující krok na číselné klávesnici. Po stisknutí správného tlačítka jim byla prostřednictvím SMS zprávy odeslána phishingová URL adresa. „Rozesílání falešných URL adres probíhalo podle našich zjištění na náhodná česká telefonní čísla. Zpráva obsahovala phishingový odkaz a text, kterým chtěli útočníci zmanipulovat oběť tak, aby na odkaz klikla. Škodlivá kampaň se šířila také prostřednictvím registrovaných reklam na sociálních sítích společnosti Meta, jako jsou Instagram a Facebook. Tyto reklamy vyzývaly k nějaké akci, například ke stažení aktualizace v podobě omezené nabídky pro uživatele,“ vysvětluje Osmani.
Odhalení podvodu samotným uživatelem komplikoval právě fakt, že útočníci využili technologii progresivních webových aplikací – PWAs. Instalace aplikace totiž v rámci této phishingové kampaně nevyvolává žádná varování o „instalaci aplikace z nedůvěryhodného zdroje“. K instalaci aplikace došlo dokonce i v případě, že nebyla povolena instalace aplikací třetích stran.
„Na základě skutečnosti, že útočníci v rámci zjištěných kampaní využívali dvě odlišné řídící infrastruktury, je pravděpodobné, že za phishingovými kampaněmi proti českým bankám stály dvě samostatné skupiny útočníků,“ uzavírá Osmani z ESETu.
