Sajber kriminalci imaju novu taktiku za krađu podataka sa platnih kartica korisnika iOS-a i Androida

Mobilni telefoni, 22.08.2024, 12:30 PM

Sajber kriminalci su pronašli način da zaobiđu odbrane iOS-a i Androida u novoj kampanji čije su mete korisnici u istočnoj Evropi. Ova nova tehnika omogućava instaliranje phishing aplikacije sa veb sajta prevaranata bez potrebe da žrtve odobre instalaciju.

iOS inače ne dozvoljava aplikacije trećih strana, a korisnici Androida moraju da ih izričito odobre. Međutim, sajber kriminalci su pronašli način da zaobiđu ova ograničenja bez ikakvih upozorenja koristeći takozvane progresivne veb aplikacije (PWA).

PWA nisu prave aplikacije, iako se kao takve pojavljuju u pokretaču aplikacija na uređaju. U suštini, oni pokreću veb stranicu upakovanu kao aplikacija.

ESET je otkrio da sajber kriminalci prave lažne „aplikacije“ banaka, usmeravajući žrtve na phishing sajtove koji se ne razlikuju od stvarnih bankarskih aplikacija.

U ovoj masovnoj kampanji na koju upozorava ESET, korisnici se pozivaju da „ažuriraju“ svoje bankarske aplikacije. Oni se bombarduju automatizovanim pozivima, SMS porukama i oglasima na društvenim mrežama.

„Ova tehnika je vredna pažnje jer instalira aplikaciju za phishing sa veb sajta treće strane, a da korisnik ne mora da dozvoli instalaciju aplikacije“, upozorava ESET u izveštaju.

Kako funkcioniše napad? Prvo, prevarantima je potrebno da korisnici kliknu na linkove koji se neselektivno isporučuju putem SMS poruka ili oglasa na društvenim mrežama. Mogu se širiti i putem automatizovanih poziva koji upozoravaju na zastarele bankarske aplikacije - od korisnika se traži da izaberu opciju na numeričkoj tastaturi, a zatim dobijaju phishing URL putem SMS-a.

Oglasi, koji uključuju vremenski ograničene ponude za korisnike koji treba da odmah „preuzmu ažuriranje“, objavljivani su na Instagramu i Facebooku. Ako korisnik klikne na link, prikazuje mu se vrlo uverljiva imitacija stranice Google Play prodavnice ili kopija veb sajta banke.

Veb sajtovi izgledaju legitimno i koriste vizuelne elemente iz poznatih aplikacija, a samo adresa veb sajta otkriva prave namere.

„Odavde se od žrtava traži da instaliraju „novu verziju“ bankarske aplikacije“, kaže ESET. „Klik na dugme za instaliranje/ažuriranje pokreće instalaciju zlonamerne aplikacije sa veb sajta direktno na telefon žrtve.“

Lažna aplikacija može imati dva oblika. Za korisnike Androida to može biti WebAPK ili PWA, a za korisnike iOS-a može biti samo PWA. Aplikacije dodaju ikone u meni ili na početni ekran, oponašajući pravu aplikaciju. Ako se pokrenu, učitavaju veb stranicu. WebAPK bi se mogao smatrati nadograđenom verzijom PWA, jer dolazi u APK obliku.

„Instaliranje PWA/WebAPK aplikacije ne upozorava žrtvu da instalira aplikaciju treće strane.“

Kada korisnik klikne na instalaciju ili ažuriranje, lažna aplikacija se pojavljuje na početnom ekranu uređaja. Otvaranje vodi do phishing stranice za prijavu.

Čak i ako korisnik Androida proveri karticu sa informacijama o aplikaciji, na njoj će biti navedeno da je aplikacija preuzeta iz Google Play prodavnice, što je podrazumevano ponašanje za sve WebAPK aplikacije.
ESET-ovi istraživači su takođe otkrili dve drastično različite infrastrukture kontrole i komande (C&C) koje se koriste za ovakve prevare zbog čega pretpostavljaju da su dve različite grupe odgovorne za širenje lažnih aplikacija.

„Jedna grupa je koristila Telegram bot da prijavi sve unete informacije u Telegram grupno ćaskanje preko zvaničnog Telegram API-ja, a druga je koristila tradicionalni C&C server sa administratorskim panelom“, rekao je ESET.

Istraživači su kontaktirali relevantne banke i prijavili osetljive informacije kompromitovanih klijenata. Takođe su pregovarali o uklanjanju više phishing domena i C&C servera.

Očekuje se da će se kreirati i distribuirati sve više ovakvih aplikacija, jer ovaj metod omogućava da se ovakve aplikacije pojave kao legitimne aplikacije na korisničkim uređajima.

Ono što još više zabrinjava je to što API-ji pretraživača omogućavaju PWA pravo da zatraže pristup mikrofonu, geolokaciji, kameri i svim drugim funkcijama koje podržava pretraživač, pa bi se mogle pojaviti i „špijunske PWA“, upozorava ESET.

Foto: Rob Hampson | Unsplash