Atuantes maliciosos estão aproveitando a tecnologia WebAPK do Android para enganar usuários desavisados a instalar aplicativos web mal-intencionados em telefones Android projetados para capturar informações pessoais sensíveis.
"O ataque começou com as vítimas recebendo mensagens SMS sugerindo a necessidade de atualizar um aplicativo de mobile banking", disseram pesquisadores do CSIRT KNF em uma análise divulgada na última semana.
"O link contido na mensagem levava a um site que usava a tecnologia WebAPK para instalar um aplicativo malicioso no dispositivo da vítima."
O aplicativo se passa pelo PKO Bank Polski, uma empresa multinacional de serviços bancários e financeiros sediada em Varsóvia.
Detalhes da campanha foram primeiro compartilhados pela empresa polonesa de cibersegurança RIFFSEC.
WebAPK permite que os usuários instalem aplicativos web progressivos (PWAs) na tela inicial de seus dispositivos Android sem ter que usar a Google Play Store.
"Quando um usuário instala um PWA do Google Chrome e um WebAPK é usado, o servidor assina um APK para o PWA," Google explica em sua documentação.
"Esse processo leva tempo, mas quando o APK está pronto, o navegador instala silenciosamente esse aplicativo no dispositivo do usuário.
Como provedores confiáveis (Play Services ou Samsung) assinaram o APK, o telefone o instala sem desativar a segurança, como com qualquer aplicativo proveniente da loja.
Não há necessidade de sideload do aplicativo."
Uma vez instalado, o aplicativo falso de banco ("chromium webapk a798467883c056fed_v2") incentiva os usuários a inserirem suas credenciais e tokens de autenticação de dois fatores (2FA), resultando efetivamente em seu roubo.
"Um dos desafios em combater tais ataques é o fato de que os aplicativos WebAPK geram nomes de pacotes diferentes e checksums em cada dispositivo," disse CSIRT KNF.
"Eles são construídos dinamicamente pelo motor Chrome, o que torna o uso desses dados como Indicadores de Compromisso (IoC) difícil."
Para combater tais ameaças, é recomendado bloquear sites que usam o mecanismo WebAPK para realizar ataques de phishing.
O desenvolvimento surge quando a Resecurity revelou que os cibercriminosos estão cada vez mais aproveitando ferramentas especializadas de falsificação de dispositivos para Android que são comercializadas na dark web em uma tentativa de se passar por titulares de contas comprometidas e burlar controles anti-fraude.
As ferramentas antidetect, incluindo Enclave Service e MacFly, são capazes de falsificar impressões digitais de dispositivos móveis e outros parâmetros de software e rede que são analisados por sistemas anti-fraude, com atuantes ameaçadores também aproveitando controles de fraude fracos para realizar transações não autorizadas via smartphones usando malware bancário como TimpDoor e Clientor.
"Cibercriminosos usam essas ferramentas para acessar contas comprometidas e se passar por clientes legítimos explorando arquivos de cookie roubados, imitando identificadores de dispositivo hiper-granulares e utilizando configurações de rede únicas das vítimas de fraude," disse a empresa de cibersegurança.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...