行業新聞與博客

最近，捷克共和國、匈牙利和格魯吉亞的金融欺詐活動中出現了一種複雜的移動網絡釣魚技術。

這種網絡釣魚方法利用漸進式 Web 應用程序 (PWA)，這些類型的 Web 應用程序提供類似原生應用程序的體驗，並且在 Android 和 iOS 設備上都越來越受歡迎。

檢測到該活動的網絡安全公司 ESET 表示，這種技術值得注意，因為它會從第三方網站安裝網絡釣魚應用程序，而無需用户允許安裝第三方應用程序。

解碼 iOS 和 Android 上的 PWA 網絡釣魚

這種新的網絡釣魚技術之所以能夠實現，是因為 PWAs 的工作方式繞過了用户允許在手機上安裝第三方軟件的需要。

在 iOS 上，釣魚網站會冒充知名應用程序的登錄頁面，並指示受害者將 PWA 添加到主屏幕。

在設置登錄頁面之前，威脅將目標 PWA 定義為單個文件中的獨立文件，該文件稱為清單，規定了 PWA 的行為方式。這導致 PWA 的行為類似於常規移動應用程序。

在 Android 設備上，在瀏覽器中確認自定義彈出窗口後安裝 PWA，從而靜默安裝 Web Android 軟件包套件 (WebAPK)。

WebAPK 是一種特殊的 APK，即標準的 Android 應用程序文件，可以被視為 PWA 的升級版本，因為 Chrome 瀏覽器從 PWA 生成原生 Android 應用程序。

ESET 補充説，作為檢測到的網絡釣魚活動的一部分安裝的 WebAPK 甚至似乎是直接從 Google Play 商店安裝的。

該技術由專門服務波蘭金融領域的計算機安全事件響應小組 CSIRT KNF 於 2023 年 7 月首次披露。

金融詐騙活動針對捷克共和國、匈牙利和格魯吉亞的銀行

2023 年 11 月，ESET 觀察到針對多家捷克銀行、匈牙利 OTP 銀行和格魯吉亞 TBC 銀行的移動網絡釣魚活動，使用了相同的技術以及標準的網絡釣魚傳送技術。

這些網絡釣魚活動使用了三種不同的 URL 傳送機制：

• 語音呼叫傳遞：自動呼叫警告用户銀行應用程序已過期，並要求用户在數字鍵盤上選擇一個選項。按下正確的按鈕後，會通過短信發送釣魚 URL
• 短信傳遞：帶有釣魚鏈接的短信被隨意發送到捷克電話號碼
• 惡意廣告投放：在 Instagram 和 Facebook 等元平台上註冊的廣告包括號召性用語，例如針對“下載以下更新”的用户的限時優惠

所有惡意鏈接都會引導用户進入釣魚網站，誘導受害者安裝“新版本”的銀行應用程序。

ESET 研究人員指出：“我們在 2023 年 11 月初發現了第一起通過 PWA 進行網絡釣魚的案例，並在 2023 年 11 月中旬注意到向 WebAPK 的轉變。”

“從網絡釣魚應用程序接收信息的命令和控制 (C2) 服務器於 2024 年 3 月首次被發現，其中的數據證實它們之前可能尚未運行。”

根據這些 C2 服務器和後端基礎設施，研究人員得出結論，有兩個不同的威脅行為者正在實施這些活動。

ESET 已通知目標銀行。