行业新闻与博客

最近，捷克共和国、匈牙利和格鲁吉亚的金融欺诈活动中出现了一种复杂的移动网络钓鱼技术。

这种网络钓鱼方法利用渐进式 Web 应用程序 (PWA)，这些类型的 Web 应用程序提供类似原生应用程序的体验，并且在 Android 和 iOS 设备上都越来越受欢迎。

检测到该活动的网络安全公司 ESET 表示，这种技术值得注意，因为它会从第三方网站安装网络钓鱼应用程序，而无需用户允许安装第三方应用程序。

解码 iOS 和 Android 上的 PWA 网络钓鱼

这种新的网络钓鱼技术之所以能够实现，是因为 PWAs 的工作方式绕过了用户允许在手机上安装第三方软件的需要。

在 iOS 上，钓鱼网站会冒充知名应用程序的登录页面，并指示受害者将 PWA 添加到主屏幕。

在设置登录页面之前，威胁将目标 PWA 定义为单个文件中的独立文件，该文件称为清单，规定了 PWA 的行为方式。这导致 PWA 的行为类似于常规移动应用程序。

在 Android 设备上，在浏览器中确认自定义弹出窗口后安装 PWA，从而静默安装 Web Android 软件包套件 (WebAPK)。

WebAPK 是一种特殊的 APK，即标准的 Android 应用程序文件，可以被视为 PWA 的升级版本，因为 Chrome 浏览器从 PWA 生成原生 Android 应用程序。

ESET 补充说，作为检测到的网络钓鱼活动的一部分安装的 WebAPK 甚至似乎是直接从 Google Play 商店安装的。

该技术由专门服务波兰金融领域的计算机安全事件响应小组 CSIRT KNF 于 2023 年 7 月首次披露。

金融诈骗活动针对捷克共和国、匈牙利和格鲁吉亚的银行

2023 年 11 月，ESET 观察到针对多家捷克银行、匈牙利 OTP 银行和格鲁吉亚 TBC 银行的移动网络钓鱼活动，使用了相同的技术以及标准的网络钓鱼传送技术。

这些网络钓鱼活动使用了三种不同的 URL 传送机制：

• 语音呼叫传递：自动呼叫警告用户银行应用程序已过期，并要求用户在数字键盘上选择一个选项。按下正确的按钮后，会通过短信发送钓鱼 URL
• 短信传递：带有钓鱼链接的短信被随意发送到捷克电话号码
• 恶意广告投放：在 Instagram 和 Facebook 等元平台上注册的广告包括号召性用语，例如针对“下载以下更新”的用户的限时优惠

所有恶意链接都会引导用户进入钓鱼网站，诱导受害者安装“新版本”的银行应用程序。

ESET 研究人员指出：“我们在 2023 年 11 月初发现了第一起通过 PWA 进行网络钓鱼的案例，并在 2023 年 11 月中旬注意到向 WebAPK 的转变。”

“从网络钓鱼应用程序接收信息的命令和控制 (C2) 服务器于 2024 年 3 月首次被发现，其中的数据证实它们之前可能尚未运行。”

根据这些 C2 服务器和后端基础设施，研究人员得出结论，有两个不同的威胁行为者正在实施这些活动。

ESET 已通知目标银行。