Agentes de ameaças começaram a usar progressive web applications (PWAs) para se passar por aplicativos bancários e roubar credenciais de usuários Android e iOS.
PWAs são aplicações multiplataforma que podem ser instaladas diretamente do navegador oferecendo uma experiência semelhante à nativa, por meio de funcionalidades como notificações push, acesso ao hardware do dispositivo e sincronização de dados em segundo plano.
Utilizar esse tipo de aplicativo em campanhas de phishing permite evadir detecção, contornar restrições de instalação de aplicativos e obter acesso a permissões arriscadas no dispositivo sem ter que apresentar ao usuário um prompt padrão que poderia levantar suspeitas.
A técnica foi observada pela primeira vez em campo em julho de 2023 na Polônia, enquanto uma campanha subsequente lançada em novembro do mesmo ano mirou usuários na República Tcheca.
A empresa de cibersegurança ESET relata que está atualmente monitorando duas campanhas distintas que dependem dessa técnica, uma mirando a instituição financeira húngara OTP Bank e a outra o TBC Bank na Geórgia.
No entanto, as duas campanhas parecem ser operadas por diferentes agentes de ameaças.
Uma utiliza uma infraestrutura de comando e controle (C2) distinta para receber credenciais roubadas, enquanto o outro grupo registra dados roubados via Telegram.
A ESET diz que as campanhas contam com uma ampla gama de métodos para alcançar seu público-alvo, incluindo chamadas automáticas, mensagens SMS (smishing) e malvertising bem elaborado em campanhas de anúncios no Facebook.
Nos dois primeiros casos, os cibercriminosos enganam o usuário com uma mensagem falsa sobre seu aplicativo bancário estar desatualizado e a necessidade de instalar a versão mais recente por razões de segurança, fornecendo uma URL para baixar o PWA de phishing.
No caso de anúncios maliciosos em redes sociais, os agentes de ameaças usam o mascote oficial do banco implicado para induzir um senso de legitimidade e promover ofertas por tempo limitado, como recompensas monetárias pela instalação de uma suposta atualização crítica do aplicativo.
Dependendo do dispositivo (verificado via o cabeçalho HTTP User-Agent), clicar no anúncio leva a vítima para uma página falsa do Google Play ou App Store.
Clicar no botão ‘Instalar’ solicita ao usuário que instale um PWA malicioso se passando por um aplicativo bancário.
Em alguns casos no Android, o aplicativo malicioso é instalado na forma de um WebAPK - um APK nativo gerado pelo navegador Chrome.
O aplicativo de phishing utiliza os identificadores oficiais do aplicativo bancário (por exemplo, logotipo, tela de login com aparência legítima) e até declara Google Play Store como a fonte de software do aplicativo.
PWAs são projetados para funcionar em várias plataformas, permitindo assim que os atacantes visem um público mais amplo por meio de uma única campanha de phishing e payload.
O principal benefício, no entanto, está em contornar as restrições de instalação do Google e da Apple para aplicativos fora das lojas oficiais de aplicativos, bem como os avisos de “instalação de fontes desconhecidas” que poderiam alertar as vítimas sobre possíveis riscos.
PWAs podem imitar de perto a aparência e a sensação de aplicativos nativos, especialmente no caso de WebAPKs, onde o logotipo do navegador no ícone e a interface do navegador dentro do aplicativo são ocultados, tornando quase impossível distingui-los de aplicações legítimas.
Esses aplicativos web podem obter acesso a vários sistemas do dispositivo por meio de APIs do navegador, como geolocalização, câmera e microfone, sem solicitá-los na tela de permissões do sistema operacional móvel.
Por fim, PWAs podem ser atualizados ou modificados pelo atacante sem interação do usuário, permitindo que a campanha de phishing seja ajustada dinamicamente para maior sucesso.
O abuso de PWAs para phishing é uma tendência emergente perigosa que pode ganhar novas proporções à medida que mais cibercriminosos percebam o potencial e os benefícios.
Alguns meses atrás, relatamos sobre novos kits de phishing visando contas Windows usando PWAs.
Os kits foram criados pelo pesquisador de segurança mr.d0x especificamente para demonstrar como esses aplicativos poderiam ser usados para roubar credenciais criando formas convincentes de login corporativo.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...