Gli analisti di sicurezza di ESET hanno scoperto e descritto una nuova forma di campagne di phishing utilizzate per le frodi bancarie. Le tecniche di phishing standard per la distribuzione di codice dannoso sono state questa volta combinate con un nuovo metodo: gli aggressori hanno preso di mira gli utenti delle piattaforme Android e iOS tramite app PWA e, nel caso della piattaforma Android, tramite WebAPK. Le installazioni non contenevano alcun avviso relativo all'installazione di applicazioni di terze parti nei casi rilevati. La maggior parte delle domande osservate erano rivolte a clienti di banche ceche, tuttavia gli esperti di ESET hanno notato anche domande rivolte a banche in Ungheria e Georgia. Sulla base dei dati analizzati sono giunti alla conclusione che dietro le campagne si nascondevano due diversi gruppi di aggressori. ESET ha informato le banche vittime di queste minacce e ha anche contribuito a rimuovere diversi domini di phishing e server di controllo.
Gli esperti di sicurezza di ESET hanno scoperto un tipo insolito di campagna di phishing, rivolta principalmente ai clienti delle banche ceche. La tecnica di phishing appena scoperta si differenzia dalle altre in quanto gli aggressori sono in grado di indurre le vittime con l'inganno a installare applicazioni di phishing da un sito Web di terzi senza che la vittima sappia che si tratta di un'applicazione proveniente da una fonte non ufficiale. Sulla piattaforma Android ciò può portare addirittura all'installazione silenziosa di un tipo speciale di APK (pacchetto di applicazioni Android) che sembra installato dal Google Play Store ufficiale.
La minaccia appena descritta ha preso di mira anche gli utenti di smartphone iPhone con sistema operativo iOS. I siti web di phishing che prendevano di mira la piattaforma iOS chiedevano alle vittime di aggiungere un'app Web progressiva (PWA) alle loro schermate iniziali.
"Per entrambe le piattaforme, Android e iOS, le app di phishing erano in gran parte indistinguibili dalle vere app bancarie che imitano. Le applicazioni PWA erano fondamentalmente siti Web racchiusi in un'applicazione apparentemente separata, mentre l'apparenza della sua autenticità era supportata anche dall'uso dei cosiddetti messaggi di sistema nativi: le notifiche telefoniche. Le app PWA, come i siti Web, sono disponibili per diversi sistemi operativi, il che spiega come queste campagne di phishing possano colpire sia utenti iOS che Android. Per gli utenti di smartphone iPhone, una campagna di questo tipo può mandare in frantumi le ipotesi di lunga data sulla sicurezza dell’ecosistema chiuso della piattaforma iOS.", afferma Jakub Osmani, analista di sicurezza presso il dipartimento di ricerca di Praga di ESET, che ha analizzato il nuovo metodo di phishing.
Potrebbe interessarti
Una telefonata, un SMS e una pubblicità sui social network invitavano al download
Le campagne di phishing scoperte utilizzavano tre diversi metodi per fornire indirizzi web dannosi alle vittime. Tra questi meccanismi figurano le chiamate vocali automatizzate, gli SMS e il malvertising (pubblicità dannosa) sui social network. La chiamata vocale è avvenuta tramite una chiamata automatizzata in cui gli aggressori hanno "avvertito" gli utenti di un'app bancaria obsoleta, invitandoli ad aggiornarla immediatamente. Agli utenti veniva quindi richiesto di selezionare il passaggio successivo sul tastierino numerico. Dopo aver premuto il pulsante corretto, veniva inviato loro un URL di phishing tramite SMS.
"Secondo i nostri accertamenti la distribuzione di indirizzi URL falsi è avvenuta a numeri telefonici cechi casuali. Il messaggio conteneva un link di phishing e un testo con cui gli aggressori hanno indotto con l'inganno la vittima a cliccare sul link. La campagna dannosa è stata diffusa anche attraverso annunci registrati sui social network di Meta come Instagram e Facebook. Questi annunci richiedevano alcune azioni, come il download di un aggiornamento sotto forma di offerta limitata per gli utenti,Osmani spiega.
Nel caso della piattaforma Android, dopo aver cliccato sull'URL dannoso sono apparse altre due diverse varianti di questo attacco di phishing: o una pagina di phishing di alta qualità che imitava la pagina ufficiale del Google Play Store con un'applicazione bancaria scaricabile, oppure un sito Web imitazione che mostra nuovamente l'opzione per scaricare l'applicazione bancaria. Successivamente le vittime sono state invitate a installare la "nuova versione" dell'applicazione bancaria.
Potrebbe interessarti
Gli utenti non sono stati avvisati dell'app di phishing durante l'installazione
La campagna di phishing descritta e i suoi metodi sono possibili solo grazie alla tecnologia delle applicazioni web progressive - PWA. Le PWA sono realizzate utilizzando le tradizionali tecnologie delle applicazioni web che possono funzionare su più piattaforme e dispositivi. Le applicazioni WebAPK possono quindi essere considerate versioni superiori delle applicazioni web progressive. Chrome genera un APK nativo per Android da una PWA. Le applicazioni WebAPK si presentano quindi come normali applicazioni native, ovvero applicazioni progettate per un solo sistema operativo: in questo caso sembrano applicazioni native per la piattaforma Android. Inoltre, l'installazione dell'app WebAPK in questa campagna di phishing non attiva alcun avviso "installa app da una fonte non attendibile". Tale applicazione verrà installata anche se non è consentita l'installazione di applicazioni di terze parti.
Secondo gli analisti di ESET, dietro le campagne si celano due diversi gruppi di aggressori. Un gruppo ha utilizzato un bot sulla piattaforma social Telegram per registrare tutte le informazioni inserite dalle vittime in una chat di gruppo tramite l'API ufficiale di Telegram. Il secondo gruppo ha utilizzato un server di controllo C&C tradizionale con un pannello amministrativo.
"Dato che gli aggressori hanno utilizzato due diverse infrastrutture di controllo nell’ambito delle campagne rilevate, è probabile che dietro le campagne di phishing contro le banche ceche si celassero due distinti gruppi di aggressori.conclude Osmani di ESET.
La maggior parte dei casi analizzati si è verificata nella Repubblica Ceca, solo due applicazioni di phishing sono apparse al di fuori della regione ceca, precisamente in Ungheria e Georgia. Tutte le informazioni sensibili raccolte dagli analisti ESET in questi casi sono state immediatamente inviate alle banche interessate per ulteriori elaborazioni. ESET ha inoltre contribuito alla rimozione di diversi domini di phishing e server di controllo.
