信息化觀察網(wǎng)

本文來自微信公眾號“嘶吼專業(yè)版”，作者/胡金魚 。

近期，安全研究人員發(fā)現(xiàn)威脅者開始使用漸進式 Web 應(yīng)用程序冒充銀行應(yīng)用程序并竊取 Android 和 iOS 用戶的憑據(jù)。

漸進式 Web 應(yīng)用程序 (PWA) 是跨平臺應(yīng)用程序，可以直接從瀏覽器安裝，并通過推送通知、訪問設(shè)備硬件和后臺數(shù)據(jù)同步等功能提供類似原生的體驗。

在網(wǎng)絡(luò)釣魚活動中使用此類應(yīng)用程序可以逃避檢測，繞過應(yīng)用程序安裝限制，并獲得設(shè)備上危險權(quán)限的訪問權(quán)限，而無需向用戶提供可能引起懷疑的標準提示。

該技術(shù)于 2023 年 7 月在波蘭首次被發(fā)現(xiàn)，而同年 11 月發(fā)起的后續(xù)活動則針對捷克用戶。

網(wǎng)絡(luò)安全公司 ESET 報告稱，它目前正在追蹤兩個依賴這種技術(shù)的不同活動，一個針對匈牙利金融機構(gòu) OTP Bank，另一個針對格魯吉亞的 TBC Bank。

然而，這兩起攻擊活動似乎是由不同的威脅分子發(fā)起的。其中一個組織使用不同的命令和控制 (C2) 基礎(chǔ)設(shè)施來接收被盜憑證，而另一個組織則通過 Telegram 記錄被盜數(shù)據(jù)。

感染鏈

ESET 表示，這些活動依靠多種方法來接觸目標受眾，包括自動呼叫、短信(短信網(wǎng)絡(luò)釣魚)以及 Facebook 廣告活動中精心制作的惡意廣告。

在前兩種情況下，網(wǎng)絡(luò)犯罪分子會用虛假消息誘騙用戶，稱他們的銀行應(yīng)用程序已過時，出于安全原因需要安裝最新版本，并提供下載釣魚 PWA 的 URL。

PWA 活動感染流程

在社交媒體上發(fā)布惡意廣告的情況下，威脅分子使用冒充的銀行官方吉祥物來誘導合法感，并宣傳限時優(yōu)惠，例如安裝所謂關(guān)鍵應(yīng)用更新即可獲得金錢獎勵。

網(wǎng)絡(luò)釣魚活動中使用的惡意廣告之一

根據(jù)設(shè)備(通過 User-Agent HTTP 標頭驗證)，點擊廣告會將受害者帶到虛假的 Google Play 或 App Store 頁面。

虛假的 Google Play 安裝提示(左)和進度(右)

點擊“安裝”按鈕會提示用戶安裝一個偽裝成銀行應(yīng)用程序的惡意 PWA。在某些情況下，在 Android 上，惡意應(yīng)用程序以 WebAPK(由 Chrome 瀏覽器生成的原生 APK)的形式安裝。

網(wǎng)絡(luò)釣魚應(yīng)用程序使用官方銀行應(yīng)用程序的標識符(例如，看似合法的登錄屏幕徽標)，甚至將 Google Play Store 聲明為該應(yīng)用程序的軟件來源。

惡意 WebAPK(左)和釣魚登錄頁面(右)

在移動設(shè)備上使用 PWA 的吸引力

PWAs 旨在跨多個平臺運行，因此攻擊者可以通過單一網(wǎng)絡(luò)釣魚活動和有效載荷瞄準更廣泛的受眾。

不過，其主要好處在于可以繞過谷歌和蘋果對官方應(yīng)用商店之外的應(yīng)用安裝限制，以及可能提醒受害者注意潛在風險的“從未知來源安裝”警告提示。

PWAs 可以緊密模仿原生應(yīng)用的外觀和感覺，尤其是在 WebAPK 的情況下，圖標上的瀏覽器徽標和應(yīng)用內(nèi)的瀏覽器界面都是隱藏的，因此幾乎不可能將其與合法應(yīng)用程序區(qū)分開來。

PWA(左)和合法應(yīng)用程序(右)

WebAPK 難以區(qū)分，因為它們的圖標中沒有 Chrome 徽標。這些 Web 應(yīng)用可以通過瀏覽器 API 訪問各種設(shè)備系統(tǒng)，例如地理位置、攝像頭和麥克風，而無需從移動操作系統(tǒng)的權(quán)限屏幕請求這些權(quán)限。

最終，攻擊者可以在無需用戶交互的情況下更新或修改 PWA，從而允許動態(tài)調(diào)整網(wǎng)絡(luò)釣魚活動以獲得更大的成功。

濫用 PWAs 進行網(wǎng)絡(luò)釣魚是一種危險的新興趨勢，隨著越來越多的網(wǎng)絡(luò)犯罪分子意識到其潛力和優(yōu)勢，這種趨勢可能會發(fā)展到新的程度。