Новый способ кражи данных: хакеры используют WebAPK для распространения вредоносных приложений на Android

WebAPK PWA CSIRT CSIRT KNF PKO Bank Polski Польша банк SMS Google Google Play 2FA IoC
Новый способ кражи данных: хакеры используют WebAPK для распространения вредоносных приложений на Android
WebAPK PWA CSIRT CSIRT KNF PKO Bank Polski Польша банк SMS Google Google Play 2FA IoC

Крупнейший банк Польши стал оружием для фишинга и наглядным примером атаки.

image

Злоумышленники используют технологию Android WebAPK , чтобы заставить пользователей устанавливать на Android-смартфоны вредоносные веб-приложения, предназначенные для сбора конфиденциальной личной информации. Об этом сообщили специалисты группы реагирования на инциденты компьютерной безопасности Польши (Computer Security Incident Response Team, CSIRT KNF).

Атака началась с того, что жертвы получили SMS-сообщения с предложением обновить приложение мобильного банкинга. Ссылка в сообщении вела на сайт, использующий технологию WebAPK для установки вредоносного приложения на устройство жертвы. Приложение выдает себя за крупнейший банк Польши PKO Bank Polski. Подробностями кампании впервые поделилась польская фирма по кибербезопасности RIFFSEC.

WebAPK позволяет пользователям устанавливать прогрессивные веб-приложения ( Progressive Web App, PWA ) на домашний экран Android-устройств без скачивания приложения из магазина Google Play.

Как объясняет Google, при установке PWA из браузера Google Chrome, используя WebAPK, сервер минтинга «чеканит» (пакеты) и подписывает APK для PWA. Когда APK готов, браузер автоматически устанавливает приложение на устройство пользователя. Поскольку доверенные поставщики (Google Play Services или Samsung) подписали APK, телефон устанавливает его, не отключая систему безопасности.

После установки поддельное банковское приложение («org.chromium.webapk.a798467883c056fed_v2») предлагает пользователю ввести свои учетные данные и токены двухфакторной аутентификации (2FA), что фактически приводит к их краже.

По словам специалистов, одной из проблем противодействия таким атакам является тот факт, что приложения WebAPK генерируют разные имена пакетов и контрольные суммы на каждом устройстве. Они динамически создаются движком Chrome, что затрудняет использование этих данных в качестве индикаторов компрометации (IoC).

Для противодействия таким угрозам рекомендуется блокировать веб-сайты, использующие механизм WebAPK для проведения фишинговых атак.

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!

Новости по теме

Ждете, когда Google наконец уберет сторонние куки в Chrome? Придется потерпеть еще год

ЦБ РФ и Росфинмониторинг тестируют платформу для контроля криптовалютных операций

Новый троян Brokewell превращает Android-смартфон в инструмент слежки

МВД хочет получать доступ к банковским данным в течение 24 часов

Тинькофф привлекает пранкеров: Фрод-рулетка станет новым оружием против мошенников

Цифровая оборона непреступной MITRE пала под натиском хакеров

Google Meet расширяет границы: теперь общаться можно и без аккаунта Google

Без посылок и денег: фишинговые сайты Почты становятся лидерами по трафику

Индийскому банку запретили открывать новые счета из-за слабой кибербезопасности