การโจมตีฟิชชิงแบบใหม่มุ่งเป้าไปที่ผู้ใช้ iOS และ Android โดยใช้ Progressive Web Applications (PWA) และ WebAPKs เพื่อขโมยข้อมูลทางการเงินของผู้ใช้
ESET ผู้ให้บริการแอนตี้มัลแวร์เตือนถึงเทคนิคฟิชชิงแบบใหม่ที่มุ่งเป้าไปที่ผู้ใช้ iOS และ Android โดยใช้แอปพลิเคชันเว็บที่เลียนแบบซอฟต์แวร์ธนาคารที่ถูกต้อง เพื่อหลบเลี่ยงการป้องกันด้านความปลอดภัยและขโมยข้อมูลการเข้าสู่ระบบ
บนทั้งสองแพลตฟอร์ม iOS และ Android, ESET เตือนว่าผู้ไม่หวังดีใช้ Progressive Web Applications (PWA) ซึ่งเป็นเว็บไซต์ที่ถูกจัดแพ็คให้ดูเหมือนแอปพลิเคชันแบบสแตนด์อโลน ในขณะที่บน Android พวกเขายังใช้ WebAPKs ซึ่งดูเหมือนจะถูกติดตั้งจาก Google Play
PWAs ถูกสร้างขึ้นโดยใช้เทคโนโลยีเว็บแอปพลิเคชัน ซึ่งสามารถทำงานได้บนแพลตฟอร์มและอุปกรณ์หลากหลายประเภท และไม่ต้องการให้ผู้ใช้อนุญาตการติดตั้งแอปพลิเคชันจากแหล่งที่สาม
ในการโจมตีที่พบ ผู้ใช้ iOS ถูกแนะนำให้เพิ่ม PWA ลงในหน้าจอหลัก ในขณะที่ผู้ใช้ Android ต้องยืนยันป๊อปอัปที่กำหนดเองในเบราว์เซอร์ก่อนที่จะติดตั้งแอปพลิเคชัน
WebAPKs ซึ่งสามารถถือได้ว่าเป็น PWA ที่อัปเกรดแล้ว จะปรากฏเหมือนแอปพื้นเมืองทั่วไป และการติดตั้งจะไม่แสดงคำเตือนใด ๆ บน Android แม้ว่าผู้ใช้จะไม่ได้อนุญาตให้ติดตั้งจากแหล่งที่สาม ข้อมูลในแท็บแอปพลิเคชันยังอ้างว่าแอปพลิเคชันเหล่านี้ถูกดาวน์โหลดจาก Google Play
ผู้โจมตีที่อยู่เบื้องหลังแคมเปญฟิชชิงเหล่านี้ ใช้การโทรอัตโนมัติ โฆษณาบนโซเชียลมีเดียที่เป็นอันตราย และข้อความ SMS เพื่อแจกจ่ายลิงก์ไปยังเว็บไซต์ของบุคคลที่สามที่โฮสต์แอปพลิเคชันหลอกลวง
เมื่อเปิดลิงก์ฟิชชิง หน้าจะเลียนแบบหน้า Google Play/Apple Store อย่างเป็นทางการ หรือเว็บไซต์ทางการของแอปพลิเคชันธนาคารที่เป็นเป้าหมาย จากนั้นผู้ใช้จะถูกขอให้ติดตั้งเวอร์ชันใหม่ของแอปพลิเคชันธนาคาร ซึ่งจะนำไปสู่การติดตั้งโปรแกรมที่เป็นอันตรายโดยไม่แสดงคำเตือนด้านความปลอดภัยใด ๆ บนอุปกรณ์
เมื่อ PWA หรือ WebAPK ฟิชชิงถูกติดตั้ง ไอคอนจะถูกเพิ่มไปที่หน้าจอหลักของผู้ใช้ และเมื่อเปิดมัน จะนำผู้ใช้ไปยังหน้าล็อกอินฟิชชิงโดยตรง
“หลังจากการติดตั้ง เหยื่อจะถูกขอให้ส่งข้อมูลการเข้าสู่ระบบธนาคารทางอินเทอร์เน็ตของพวกเขาเพื่อเข้าถึงบัญชีผ่านแอปพลิเคชันธนาคารบนมือถือใหม่ ข้อมูลทั้งหมดที่ส่งจะถูกส่งไปยังเซิร์ฟเวอร์ C&C ของผู้โจมตี” ESET กล่าวในเอกสารการค้นพบนี้
ตามรายงานของ ESET การโจมตีฟิชชิงเริ่มต้นขึ้นประมาณเดือนพฤศจิกายน 2023 โดยเซิร์ฟเวอร์คำสั่งและควบคุม (C&C) ที่ใช้ในการรวบรวมข้อมูลเริ่มทำงานในเดือนมีนาคม 2024 ในบางกรณีมีการใช้บอท Telegram ในการรวบรวมข้อมูลของผู้ใช้
การโจมตีเหล่านี้มุ่งเน้นไปที่ผู้ใช้ธนาคารบนมือถือในสาธารณรัฐเช็กเป็นหลัก แต่ก็มีการโจมตีผู้ใช้ในฮังการีและจอร์เจียด้วยเช่นกัน
จากโครงสร้างพื้นฐาน C&C ที่พบ ESET เชื่อว่ามีผู้โจมตีสองกลุ่มที่ใช้เทคนิคใหม่นี้ในการโจมตีฟิชชิง นอกจากนี้ บริษัทความปลอดภัยไซเบอร์ยังเตือนว่าผู้โจมตีอาจขยายการโจมตีด้วยแอปพลิเคชันเลียนแบบมากขึ้น เนื่องจากแอปพลิเคชันเหล่านี้ยากที่จะจำแนกจากแอปที่ถูกต้อง
Credit : Securityweek.com
