Podvodná kampaň udeřila na zákazníky českých bank. V ohrožení mohly být iPhony i Androidy

Softwarová společnost ESET popsala nový typ podvodu, který aktuálně ohrožuje uživatele v České republice. Cílem je opět získat přístup k bankovnímu účtu oběti a ten následně vybílit. Technika podvodu je opět sofistikovanější – pozor by měli dávat uživatelé obou mobilních platforem Androidu i iOS (iPhonu).

Podvod využívá „osvědčené“ metody phishingu, tedy vylákání přihlašovacích údajů. Ta je ale tentokrát kombinovaná s novou metodou. Útočníci se zaměřili na uživatele platforem Android a iOS prostřednictvím webových aplikací PWA, v případě platformy Android jde také o generované archivy WebAPK.

Instalace neobsahovaly ve zjištěných případech žádná varování o tom, že dochází k instalacím aplikací třetích stran. Většina pozorovaných aplikací cílila na klienty českých bank, experti společnosti ESET nicméně zaznamenali také aplikace zaměřené na banky v Maďarsku a Gruzii. ESET už informoval o těchto hrozbách banky a pomohl také několik phishingových domén a řídicích serverů odstranit.

Aplikace napodobující mobilní bankovnictví

Nově objevená phishingová technika se oproti jiným vyznačuje tím, že útočníci dokáží přimět oběti k instalaci phishingových aplikací z webové stránky třetí strany, aniž by se oběť dozvěděla, že se jedná o aplikaci z neoficiálního zdroje. Na platformě Android to může vést dokonce k tiché instalaci speciálního typu aplikace APK (softwarový balík pro distribuci a instalaci aplikací), která vypadá, jako by byla nainstalována z oficiálního obchodu Google Play.

Schéma podvodu s podvrženými PWA aplikacemi

Nově popsaná hrozba cílila také na uživatele chytrých telefonů iPhone s operačním systémem iOS. Phishingové webové stránky zaměřené na platformu iOS instruovaly oběti k tomu, aby přidaly aplikaci PWA (Progressive Web App – Progresivní webová aplikace) na své domovské obrazovky. V případě obou platforem, Android i iOS, byly phishingové aplikace do značné míry nerozeznatelné od skutečných bankovních aplikací, které napodobují.

„PWA aplikace byly v podstatě webové stránky zabalené do zdánlivě samostatné aplikace, přičemž zdání její opravdovosti bylo podpořeno také využitím tzv. nativních systémových výzev – notifikací telefonu. PWA aplikace jsou, stejně jako webové stránky, dostupné pro různé operační systémy, což vysvětluje, jak mohou tyto phishingové kampaně cílit na uživatele platformy iOS i Android. Pro uživatele chytrých telefonů iPhone může taková kampaň nabourat zažité předpoklady o bezpečnosti ‚uzavřeného ekosystému‘ platformy iOS,“ říká Jakub Osmani, bezpečnostní analytik pražské výzkumné pobočky společnosti ESET.

Podvodný telefonní hovor i SMS

Odhalené phishingové kampaně využívaly tři různé způsoby, jak doručit škodlivé webové adresy obětem. Mezi těmito mechanismy byly automatizované hlasové hovory, SMS zprávy a malvertising (škodlivá reklama) na sociálních sítích. Hlasový hovor byl realizován prostřednictvím automatizovaného hovoru, ve kterém útočníci „varovali“ uživatele před zastaralou bankovní aplikací a podněcovali je tak k okamžité aktualizaci. Rozesílání falešných URL adres probíhalo podle našich zjištění na náhodná česká telefonní čísla.

V případě platformy Android se po kliknutí na škodlivou URL adresu objevovaly dvě další, rozdílné varianty tohoto phishingového útoku – buď vysoce kvalitní phishingová stránka napodobující oficiální stránku obchodu Google Play s bankovní aplikací ke stažení, nebo napodobenina webové stránky opět zobrazující možnost stažení bankovní aplikace. V dalším kroku pak byly oběti vyzvány k tomu, aby „novou verzi“ bankovní aplikace nainstalovaly.