Крупнейший банк Польши стал оружием для фишинга и наглядным примером атаки.
Злоумышленники используют Для просмотра ссылки Войдиили Зарегистрируйся , чтобы заставить пользователей устанавливать на Android-смартфоны вредоносные веб-приложения, предназначенные для сбора конфиденциальной личной информации. Об этом Для просмотра ссылки Войди или Зарегистрируйся специалисты группы реагирования на инциденты компьютерной безопасности Польши (Computer Security Incident Response Team, CSIRT KNF).
Атака началась с того, что жертвы получили SMS-сообщения с предложением обновить приложение мобильного банкинга. Ссылка в сообщении вела на сайт, использующий технологию WebAPK для установки вредоносного приложения на устройство жертвы. Приложение выдает себя за крупнейший банк Польши PKO Bank Polski. Подробностями кампании впервые Для просмотра ссылки Войдиили Зарегистрируйся польская фирма по кибербезопасности RIFFSEC.
Для просмотра ссылки Войдиили Зарегистрируйся позволяет пользователям устанавливать прогрессивные веб-приложения ( Для просмотра ссылки Войди или Зарегистрируйся ) на домашний экран Android-устройств без скачивания приложения из магазина Google Play.
Как объясняет Google, при установке PWA из браузера Google Chrome, используя WebAPK, сервер минтинга «чеканит» (пакеты) и подписывает APK для PWA. Когда APK готов, браузер автоматически устанавливает приложение на устройство пользователя. Поскольку доверенные поставщики ( Google Play Services или Samsung) подписали APK, телефон устанавливает его, не отключая систему безопасности.
После установки поддельное банковское приложение («org.chromium.webapk.a798467883c056fed_v2») предлагает пользователю ввести свои учетные данные и токены двухфакторной аутентификации ( 2FA ), что фактически приводит к их краже.
По словам специалистов, одной из проблем противодействия таким атакам является тот факт, что приложения WebAPK генерируют разные имена пакетов и контрольные суммы на каждом устройстве. Они динамически создаются движком Chrome, что затрудняет использование этих данных в качестве индикаторов компрометации ( IoC ).
Для противодействия таким угрозам рекомендуется блокировать веб-сайты, использующие механизм WebAPK для проведения фишинговых атак.
Злоумышленники используют Для просмотра ссылки Войди
Атака началась с того, что жертвы получили SMS-сообщения с предложением обновить приложение мобильного банкинга. Ссылка в сообщении вела на сайт, использующий технологию WebAPK для установки вредоносного приложения на устройство жертвы. Приложение выдает себя за крупнейший банк Польши PKO Bank Polski. Подробностями кампании впервые Для просмотра ссылки Войди
Для просмотра ссылки Войди
Как объясняет Google, при установке PWA из браузера Google Chrome, используя WebAPK, сервер минтинга «чеканит» (пакеты) и подписывает APK для PWA. Когда APK готов, браузер автоматически устанавливает приложение на устройство пользователя. Поскольку доверенные поставщики ( Google Play Services или Samsung) подписали APK, телефон устанавливает его, не отключая систему безопасности.
После установки поддельное банковское приложение («org.chromium.webapk.a798467883c056fed_v2») предлагает пользователю ввести свои учетные данные и токены двухфакторной аутентификации ( 2FA ), что фактически приводит к их краже.
По словам специалистов, одной из проблем противодействия таким атакам является тот факт, что приложения WebAPK генерируют разные имена пакетов и контрольные суммы на каждом устройстве. Они динамически создаются движком Chrome, что затрудняет использование этих данных в качестве индикаторов компрометации ( IoC ).
Для противодействия таким угрозам рекомендуется блокировать веб-сайты, использующие механизм WebAPK для проведения фишинговых атак.
- Источник новости
- www.securitylab.ru