Los usuarios de dispositivos móviles en la República Checa son el objetivo de una novedosa campaña de phishing que aprovecha una aplicación web progresiva (PWA) en un intento de robar las credenciales de sus cuentas bancarias.
Los ataques tuvieron como objetivo el Československá obchodní banka (CSOB), con sede en la República Checa, así como el banco húngaro OTP y el banco georgiano TBC, según la empresa eslovaca de ciberseguridad ESET.
«Los sitios web de phishing dirigidos a iOS instruyen a las víctimas a agregar una aplicación web progresiva (PWA) a sus pantallas de inicio, mientras que en Android la PWA se instala después de confirmar ventanas emergentes personalizadas en el navegador», dijo el investigador de seguridad Jakub Osmani. dicho.
«En este momento, en ambos sistemas operativos, estas aplicaciones de phishing son en gran medida indistinguibles de las aplicaciones bancarias reales que imitan».
Lo destacable de esta táctica es que los usuarios son engañados para que instalen una PWA, o incluso WebAPK en algunos casos en Android, desde un sitio de terceros sin tener que permitir específicamente la carga lateral.
Un análisis de los servidores de comando y control (C2) utilizados y la infraestructura de backend revela que detrás de las campañas hay dos actores de amenazas diferentes.
Estos sitios web se distribuyen a través de llamadas de voz automatizadas, mensajes SMS y publicidad maliciosa en las redes sociales a través de Facebook e Instagram. Las llamadas de voz advierten a los usuarios sobre una aplicación bancaria desactualizada y les piden que seleccionen una opción numérica, tras lo cual se envía la URL de phishing.
A los usuarios que terminan haciendo clic en el enlace se les muestra una página similar a la lista de Google Play Store para la aplicación bancaria en cuestión, o un sitio imitador de la aplicación, lo que finalmente conduce a la «instalación» de la aplicación PWA o WebAPK bajo la apariencia de una actualización de la aplicación.
«Este paso crucial de instalación evita las advertencias tradicionales de los navegadores sobre ‘instalación de aplicaciones desconocidas’: este es el comportamiento predeterminado de la tecnología WebAPK de Chrome, que es utilizada de forma abusiva por los atacantes», explicó Osmani. «Además, instalar un WebAPK no produce ninguna de las advertencias de ‘instalación desde una fuente no confiable'».
Para quienes utilizan dispositivos Apple iOS, se proporcionan instrucciones para agregar la aplicación PWA falsa a la pantalla de inicio. El objetivo final de la campaña es capturar las credenciales bancarias ingresadas en la aplicación y filtrarlas a un servidor C2 controlado por el atacante o a un chat grupal de Telegram.
ESET afirmó que registró la primera instancia de phishing a través de PWA a principios de noviembre de 2023, y que se detectaron oleadas posteriores en marzo y mayo de 2024.
La revelación se produce cuando los investigadores de ciberseguridad han descubierto una nueva variante del troyano Gigabud para Android que se propaga a través de sitios web de phishing que imitan a Google Play Store o sitios que se hacen pasar por varios bancos o entidades gubernamentales.
«El malware tiene varias capacidades, como la recopilación de datos sobre el dispositivo infectado, la exfiltración de credenciales bancarias, la recopilación de grabaciones de pantalla, etc.», dijo Symantec, propiedad de Broadcom. dicho.
También sigue a Silent Push. descubrimiento de 24 paneles de control diferentes para una variedad de troyanos bancarios de Android como ERMAC, BlackRock, Hook, Loot y Pegasus (que no debe confundirse con el software espía del mismo nombre de NSO Group) que son operados por un actor de amenazas llamado DukeEugene.