Новости Новый способ кражи данных: хакеры используют WebAPK для распространения вредоносных приложений на Android

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Крупнейший банк Польши стал оружием для фишинга и наглядным примером атаки.


6qqzoj8km9eo9ervtid1fd01i0fj3lf2.jpg


Злоумышленники используют Для просмотра ссылки Войди или Зарегистрируйся , чтобы заставить пользователей устанавливать на Android-смартфоны вредоносные веб-приложения, предназначенные для сбора конфиденциальной личной информации. Об этом Для просмотра ссылки Войди или Зарегистрируйся специалисты группы реагирования на инциденты компьютерной безопасности Польши (Computer Security Incident Response Team, CSIRT KNF).

Атака началась с того, что жертвы получили SMS-сообщения с предложением обновить приложение мобильного банкинга. Ссылка в сообщении вела на сайт, использующий технологию WebAPK для установки вредоносного приложения на устройство жертвы. Приложение выдает себя за крупнейший банк Польши PKO Bank Polski. Подробностями кампании впервые Для просмотра ссылки Войди или Зарегистрируйся польская фирма по кибербезопасности RIFFSEC.

Для просмотра ссылки Войди или Зарегистрируйся позволяет пользователям устанавливать прогрессивные веб-приложения ( Для просмотра ссылки Войди или Зарегистрируйся ) на домашний экран Android-устройств без скачивания приложения из магазина Google Play.

Как объясняет Google, при установке PWA из браузера Google Chrome, используя WebAPK, сервер минтинга «чеканит» (пакеты) и подписывает APK для PWA. Когда APK готов, браузер автоматически устанавливает приложение на устройство пользователя. Поскольку доверенные поставщики ( Google Play Services или Samsung) подписали APK, телефон устанавливает его, не отключая систему безопасности.

После установки поддельное банковское приложение («org.chromium.webapk.a798467883c056fed_v2») предлагает пользователю ввести свои учетные данные и токены двухфакторной аутентификации ( 2FA ), что фактически приводит к их краже.

По словам специалистов, одной из проблем противодействия таким атакам является тот факт, что приложения WebAPK генерируют разные имена пакетов и контрольные суммы на каждом устройстве. Они динамически создаются движком Chrome, что затрудняет использование этих данных в качестве индикаторов компрометации ( IoC ).

Для противодействия таким угрозам рекомендуется блокировать веб-сайты, использующие механизм WebAPK для проведения фишинговых атак.
 
Источник новости
www.securitylab.ru

Похожие темы