Los actores de amenazas se están aprovechando de Android Tecnología WebAPK para engañar a los usuarios desprevenidos para que instalen aplicaciones web maliciosas en teléfonos Android que están diseñadas para capturar información personal confidencial.
«El ataque comenzó cuando las víctimas recibieron mensajes SMS que sugerían la necesidad de actualizar una aplicación de banca móvil», investigadores de CSIRT KNF dicho en un análisis publicado la semana pasada. «El enlace contenido en el mensaje conducía a un sitio que utilizaba la tecnología WebAPK para instalar una aplicación maliciosa en el dispositivo de la víctima».
La aplicación se hace pasar por PKO Bank Polski, una empresa multinacional de servicios bancarios y financieros con sede en Varsovia. Los detalles de la campaña fueron primero compartido por la firma polaca de ciberseguridad RIFFSEC.
WebAPK permite a los usuarios instalar aplicaciones web progresivas (PWA) en su pantalla de inicio en dispositivos Android sin tener que usar Google Play Store.
«Cuando un usuario instala una PWA desde Google Chrome y se usa una WebAPK, el servidor de minting «minta» (paquetes) y firma una APK para la PWA», Google explica en su documentación.
«Ese proceso lleva tiempo, pero cuando el APK está listo, el navegador instala esa aplicación de forma silenciosa en el dispositivo del usuario. Debido a que los proveedores de confianza (Play Services o Samsung) firmaron el APK, el teléfono lo instala sin desactivar la seguridad, como ocurre con cualquier aplicación que venga». de la tienda. No hay necesidad de descargar la aplicación».
Una vez instalada, la aplicación bancaria falsa («org.chromium.webapk.a798467883c056fed_v2») insta a los usuarios a ingresar sus credenciales y tokens de autenticación de dos factores (2FA), lo que resulta en su robo.
«Uno de los desafíos para contrarrestar tales ataques es el hecho de que las aplicaciones WebAPK generan diferentes nombres de paquetes y sumas de verificación en cada dispositivo», dijo CSIRT KNF. «Están construidos dinámicamente por el motor Chrome, lo que dificulta el uso de estos datos como indicadores de compromiso (IoC)».
Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
Para contrarrestar este tipo de amenazas, se recomienda bloquear los sitios web que utilizan el mecanismo WebAPK para realizar ataques de phishing.
El desarrollo se produce cuando Resecurity reveló que los ciberdelincuentes están aprovechando cada vez más las herramientas especializadas de suplantación de dispositivos para Android que se comercializan en la web oscura en un intento por hacerse pasar por titulares de cuentas comprometidas y eludir los controles antifraude.
Las herramientas antidetección, incluidos Enclave Service y MacFly, son capaces de suplantar las huellas dactilares de dispositivos móviles y otros parámetros de red y software que son analizados por los sistemas antifraude, y los actores de amenazas también aprovechan los controles de fraude débiles para realizar transacciones no autorizadas a través de teléfonos inteligentes utilizando malware bancario como como TimpDoor y Clientor.
«Los ciberdelincuentes usan estas herramientas para acceder a cuentas comprometidas y hacerse pasar por clientes legítimos al explotar archivos de cookies robados, hacerse pasar por identificadores de dispositivos hiper granulares y utilizar la configuración de red única de las víctimas del fraude», dijo la compañía de seguridad cibernética. dicho.