Mobiele gebruikers in Tsjechië zijn het doelwit van een nieuwe phishingcampagne die gebruikmaakt van een Progressive Web Application (PWA) om de inloggegevens van hun bankrekening te stelen.
Volgens het Slowaakse cybersecuritybedrijf ESET waren de aanvallen gericht op de in Tsjechië gevestigde Československá obchodní banka (CSOB), maar ook op de Hongaarse OTP Bank en de Georgische TBC Bank.
“De phishingwebsites die op iOS zijn gericht, vragen slachtoffers om een Progressive Web Application (PWA) aan hun startscherm toe te voegen, terwijl op Android de PWA wordt geïnstalleerd nadat aangepaste pop-ups in de browser zijn bevestigd”, aldus beveiligingsonderzoeker Jakub Osmani.
“Op dit moment zijn deze phishing-apps op beide besturingssystemen nauwelijks te onderscheiden van de echte bank-apps die ze nabootsen.”
Het opmerkelijke aan deze tactiek is dat gebruikers worden misleid om een PWA of in sommige gevallen zelfs WebAPK’s op Android te installeren vanaf een site van derden, zonder dat ze specifiek sideloading hoeven toe te staan.
Uit een analyse van de gebruikte command-and-control (C2)-servers en de backend-infrastructuur blijkt dat er twee verschillende bedreigingsactoren achter de campagnes zitten.
Deze websites worden verspreid via geautomatiseerde spraakoproepen, sms-berichten en social media malvertising via Facebook en Instagram. De spraakoproepen waarschuwen gebruikers voor een verouderde bank-app en vragen hen om een numerieke optie te selecteren, waarna de phishing-URL wordt verzonden.
Gebruikers die op de link klikken, krijgen een pagina te zien die lijkt op de vermelding in de Google Play Store voor de beoogde bank-app, of een imitatiesite voor de applicatie. Dit leidt uiteindelijk tot de ‘installatie’ van de PWA- of WebAPK-app onder het mom van een app-update.
“Deze cruciale installatiestap omzeilt de traditionele browserwaarschuwingen over ‘onbekende apps installeren’: dit is het standaardgedrag van Chrome’s WebAPK-technologie, die door aanvallers wordt misbruikt,” legde Osmani uit. “Bovendien produceert het installeren van een WebAPK geen van de ‘installatie van een niet-vertrouwde bron’-waarschuwingen.”
Voor degenen die Apple iOS-apparaten gebruiken, worden instructies gegeven om de valse PWA-app toe te voegen aan het startscherm. Het uiteindelijke doel van de campagne is om de bankgegevens die op de app zijn ingevoerd te bemachtigen en deze te exfiltreren naar een door een aanvaller gecontroleerde C2-server of een Telegram-groepschat.
ESET meldde dat het de eerste keer dat er sprake was van phishing via PWA begin november 2023 werd geregistreerd, waarna er in maart en mei 2024 nog meer aanvallen plaatsvonden.
De onthulling komt nadat cybersecurity-onderzoekers een nieuwe variant van de Gigabud Android-trojan hebben ontdekt die wordt verspreid via phishingwebsites die de Google Play Store nabootsen of sites die zich voordoen als verschillende banken of overheidsinstanties.
“De malware heeft verschillende mogelijkheden, zoals het verzamelen van gegevens over het geïnfecteerde apparaat, het stelen van bankgegevens, het verzamelen van schermopnames, enzovoort”, aldus Symantec, eigendom van Broadcom.
Het volgt ook op de ontdekking door Silent Push van 24 verschillende controlepanelen voor diverse Android banking trojans zoals ERMAC, BlackRock, Hook, Loot en Pegasus (niet te verwarren met de gelijknamige spyware van NSO Group). Deze worden beheerd door een kwaadwillende actor genaamd DukeEugene.