Podle nového výzkumu hackeři nastavili škodlivé bankovní aplikace tak, aby vypadaly téměř identicky s legitimními evropskými aplikacemi ve snaze ukrást uživatelská data v propracovaném phishingovém schématu.
Tyto škodlivé aplikace se podle nové zprávy instalují na zařízení se systémem Android a iOS z webových stránek třetích stran, čímž obcházejí tradiční bezpečnostní opatření, která varují uživatele před instalací neznámých programů. Zpráva Od slovenské kybernetické bezpečnostní společnosti ESET.
Kampaň, která začala v listopadu loňského roku, vedli dva aktéři hrozeb, kteří využívali „zásadně odlišnou“ infrastrukturu. Vědci však útoky nepřipisovali konkrétním hackerským skupinám.
Mezi oběťmi těchto útoků byla velká česká banka, která nebyla ve zprávě uvedena, dále maďarská OTP Bank a gruzínská TBC Bank.
Aby získali přístup k zařízením obětí, hackeři se na ně zaměřili automatickými hlasovými hovory, SMS zprávami a reklamami na sociálních sítích, čímž uživatele přiměli k instalaci škodlivých bankovních aplikací. Aby hackeři působili důvěryhodněji, vytvořili vysoce profilovanou phishingovou stránku, která napodobuje oficiální obchod Google Play, ačkoli aplikace nejsou ve skutečném obchodě dostupné.
Aplikace nainstalované na cílových zařízeních byly identifikovány jako progresivní webové aplikace (PWA), které fungují jako skutečné mobilní aplikace a umožňují aktérům hrozeb přístup k mikrofonu, geolokaci, kameře a dalším podporovaným funkcím prohlížeče.
„PWA jsou v podstatě webové stránky zabalené jako kompletní aplikace,“ vysvětlili vědci. Aplikace jsou zaměřeny na uživatele Android a iOS a operační systémy je nerozpoznají jako „škodlivé“, uvedli. obrázky
Postupujte podle animací Google Play ve výzvě k instalaci. Obrázek: ESET
Phishingové weby zaměřené na uživatele iOS instruovaly oběti, aby si přidaly PWA na své domovské obrazovky, zatímco na zařízeních Android byla škodlivá aplikace nainstalována poté, co uživatelé potvrdili vlastní vyskakovací okna v prohlížeči.
Po instalaci byly oběti vyzvány, aby předložily přihlašovací údaje k internetovému bankovnictví pro přístup ke svým účtům prostřednictvím nových aplikací mobilního bankovnictví, které byly prakticky „nerozlišitelné“ od legitimních aplikací, které sledovaly. Všechny odeslané informace byly odeslány na servery útočníků.
Podle ESETu byly všechny citlivé informace zjištěné během výzkumu předány ke zpracování dotčeným bankám. Výzkumníci uvedli, že také vyjednali downgrade několika phishingových domén a serverů kontrolovaných hackery.
Proběhla podobná kampaň PWA byl objeven V Polsku se hackeři loni v červenci pokusili přimět uživatele, aby si nainstalovali kopii aplikace polské banky bez použití obchodu Google Play.
„Protože je po instalaci obtížné odlišit legitimní aplikace od phishingových, očekáváme, že bude vytvořeno a distribuováno více duplicitních aplikací,“ uvedl ESET.
Registrované futures
Intelligence Cloud.
„Cestovní cestovatel. Odborník na pivo. Jemně okouzlující fanoušek alkoholu. Internetový feťák. Zanícený učenec slaniny.“