Les utilisateurs mobiles en République tchèque sont la cible d’une nouvelle campagne de phishing qui exploite une application Web progressive (PWA) pour tenter de voler leurs identifiants de compte bancaire.
Les attaques ont ciblé la banque tchèque Československá obchodní banka (CSOB), ainsi que la banque hongroise OTP et la banque géorgienne TBC, selon la société de cybersécurité slovaque ESET.
« Les sites Web de phishing ciblant iOS demandent aux victimes d’ajouter une application Web progressive (PWA) à leur écran d’accueil, tandis que sur Android, la PWA est installée après confirmation des fenêtres contextuelles personnalisées dans le navigateur », explique le chercheur en sécurité Jakub Osmani dit.
« À ce stade, sur les deux systèmes d’exploitation, ces applications de phishing sont en grande partie impossibles à distinguer des véritables applications bancaires qu’elles imitent. »
Ce qui est remarquable dans cette tactique, c’est que les utilisateurs sont trompés et installent une PWA, ou même des WebAPK dans certains cas sur Android, à partir d’un site tiers sans avoir à autoriser spécifiquement le chargement latéral.
Une analyse des serveurs de commande et de contrôle (C2) utilisés et de l’infrastructure back-end révèle que deux acteurs de menace différents sont à l’origine des campagnes.
Ces sites Web sont diffusés via des appels vocaux automatisés, des messages SMS et des publicités malveillantes sur les réseaux sociaux via Facebook et Instagram. Les appels vocaux avertissent les utilisateurs de la présence d’une application bancaire obsolète et leur demandent de sélectionner une option numérique, après quoi l’URL de phishing est envoyée.
Les utilisateurs qui finissent par cliquer sur le lien voient s’afficher une page similaire qui imite la liste du Google Play Store pour l’application bancaire ciblée, ou un site imitateur de l’application, conduisant finalement à « l’installation » de l’application PWA ou WebAPK sous le couvert d’une mise à jour de l’application.
« Cette étape cruciale de l’installation contourne les avertissements traditionnels du navigateur concernant l’installation d’applications inconnues : il s’agit du comportement par défaut de la technologie WebAPK de Chrome, qui est exploitée de manière abusive par les attaquants », a expliqué Osmani. « De plus, l’installation d’un WebAPK ne génère aucun des avertissements d’installation à partir d’une source non fiable ».
Pour ceux qui utilisent des appareils Apple iOS, des instructions sont fournies pour ajouter la fausse application PWA à l’écran d’accueil. L’objectif final de la campagne est de capturer les informations bancaires saisies sur l’application et de les exfiltrer vers un serveur C2 contrôlé par l’attaquant ou une discussion de groupe Telegram.
ESET a déclaré avoir enregistré la première instance de phishing via PWA début novembre 2023, avec des vagues ultérieures détectées en mars et mai 2024.
Cette révélation intervient alors que des chercheurs en cybersécurité ont découvert une nouvelle variante du cheval de Troie Android Gigabud qui se propage via des sites Web de phishing imitant le Google Play Store ou des sites se faisant passer pour diverses banques ou entités gouvernementales.
« Le malware a diverses capacités telles que la collecte de données sur l’appareil infecté, l’exfiltration d’identifiants bancaires, la collecte d’enregistrements d’écran, etc. », a déclaré Symantec, propriété de Broadcom. dit.
Il suit également Silent Push découverte de 24 panneaux de contrôle différents pour une variété de chevaux de Troie bancaires Android tels que ERMAC, BlackRock, Hook, Loot et Pegasus (à ne pas confondre avec le logiciel espion du même nom de NSO Group) qui sont exploités par un acteur de menace nommé DukeEugene.