行業新聞與部落格

最近，捷克共和國、匈牙利和喬治亞的金融欺詐活動中出現了一種複雜的行動網路釣魚技術。

這種網路釣魚方法利用漸進式 Web 應用程式 (PWA)，這些型別的 Web 應用程式提供類似原生應用程式的體驗，並且在 Android 和 iOS 裝置上都越來越受歡迎。

檢測到該活動的網路安全公司 ESET 表示，這種技術值得注意，因為它會從第三方網站安裝網路釣魚應用程式，而無需使用者允許安裝第三方應用程式。

解碼 iOS 和 Android 上的 PWA 網路釣魚

這種新的網路釣魚技術之所以能夠實現，是因為 PWAs 的工作方式繞過了使用者允許在手機上安裝第三方軟體的需要。

在 iOS 上，釣魚網站會冒充知名應用程式的登入頁面，並指示受害者將 PWA 新增到主螢幕。

在設定登入頁面之前，威脅將目標 PWA 定義為單個檔案中的獨立檔案，該檔案稱為清單，規定了 PWA 的行為方式。這導致 PWA 的行為類似於常規移動應用程式。

在 Android 裝置上，在瀏覽器中確認自定義彈出視窗後安裝 PWA，從而靜默安裝 Web Android 軟體包套件 (WebAPK)。

WebAPK 是一種特殊的 APK，即標準的 Android 應用程式檔案，可以被視為 PWA 的升級版本，因為 Chrome 瀏覽器從 PWA 生成原生 Android 應用程式。

ESET 補充說，作為檢測到的網路釣魚活動的一部分安裝的 WebAPK 甚至似乎是直接從 Google Play 商店安裝的。

該技術由專門服務波蘭金融領域的計算機安全事件響應小組 CSIRT KNF 於 2023 年 7 月首次披露。

金融詐騙活動針對捷克共和國、匈牙利和喬治亞的銀行

2023 年 11 月，ESET 觀察到針對多家捷克銀行、匈牙利 OTP 銀行和喬治亞 TBC 銀行的行動網路釣魚活動，使用了相同的技術以及標準的網路釣魚傳送技術。

這些網路釣魚活動使用了三種不同的 URL 傳送機制：

• 語音呼叫傳遞：自動呼叫警告使用者銀行應用程式已過期，並要求使用者在數字鍵盤上選擇一個選項。按下正確的按鈕後，會透過簡訊傳送釣魚 URL
• 簡訊傳遞：帶有釣魚連結的簡訊被隨意傳送到捷克電話號碼
• 惡意廣告投放：在 Instagram 和 Facebook 等元平臺上註冊的廣告包括號召性用語，例如針對“下載以下更新”的使用者的限時優惠

所有惡意連結都會引導使用者進入釣魚網站，誘導受害者安裝“新版本”的銀行應用程式。

ESET 研究人員指出：“我們在 2023 年 11 月初發現了第一起透過 PWA 進行網路釣魚的案例，並在 2023 年 11 月中旬注意到向 WebAPK 的轉變。”

“從網路釣魚應用程式接收資訊的命令和控制 (C2) 伺服器於 2024 年 3 月首次被發現，其中的資料證實它們之前可能尚未執行。”

根據這些 C2 伺服器和後端基礎設施，研究人員得出結論，有兩個不同的威脅行為者正在實施這些活動。

ESET 已通知目標銀行。