นักวิเคราะห์ความปลอดภัยจาก ESET ได้ค้นพบและอธิบายรูปแบบใหม่ของแคมเปญฟิชชิ่งที่ใช้สำหรับการฉ้อโกงทางธนาคาร เทคนิคฟิชชิ่งมาตรฐานสำหรับการส่งโค้ดที่เป็นอันตรายถูกรวมเข้ากับวิธีการใหม่ในครั้งนี้ โดยผู้โจมตีกำหนดเป้าหมายผู้ใช้แพลตฟอร์ม Android และ iOS ผ่านแอป PWA และในกรณีของแพลตฟอร์ม Android ผ่าน WebAPK การติดตั้งไม่มีคำเตือนใด ๆ ว่ามีการติดตั้งแอปพลิเคชันบุคคลที่สามในกรณีที่ตรวจพบ แอปพลิเคชันที่สังเกตส่วนใหญ่มุ่งเป้าไปที่ลูกค้าของธนาคารเช็ก อย่างไรก็ตาม ผู้เชี่ยวชาญของ ESET ยังระบุถึงแอปพลิเคชันที่มุ่งเป้าไปที่ธนาคารในฮังการีและจอร์เจียด้วย จากข้อมูลที่วิเคราะห์ พวกเขาสรุปได้ว่ามีผู้โจมตีสองกลุ่มที่อยู่เบื้องหลังแคมเปญดังกล่าว ESET แจ้งธนาคารของเหยื่อเกี่ยวกับภัยคุกคามเหล่านี้ และยังช่วยลบโดเมนฟิชชิ่งและเซิร์ฟเวอร์ควบคุมหลายแห่ง
ผู้เชี่ยวชาญด้านความปลอดภัยจาก ESET ค้นพบแคมเปญฟิชชิ่งประเภทที่ผิดปกติ ซึ่งมุ่งเป้าไปที่ลูกค้าของธนาคารเช็กเป็นหลัก เทคนิคฟิชชิ่งที่เพิ่งค้นพบนี้แตกต่างจากเทคนิคอื่นๆ ตรงที่ผู้โจมตีสามารถหลอกให้เหยื่อติดตั้งแอพพลิเคชั่นฟิชชิ่งจากเว็บไซต์บุคคลที่สาม โดยที่เหยื่อไม่รู้ว่าเป็นแอพพลิเคชั่นจากแหล่งที่ไม่เป็นทางการ บนแพลตฟอร์ม Android ยังสามารถนำไปสู่การติดตั้ง APK ประเภทพิเศษ (แพ็คเกจแอปพลิเคชัน Android) แบบเงียบซึ่งดูเหมือนว่าจะติดตั้งจากร้านค้า Google Play อย่างเป็นทางการ
ภัยคุกคามที่เพิ่งอธิบายนี้ยังมุ่งเป้าไปที่ผู้ใช้สมาร์ทโฟน iPhone ที่ใช้ระบบปฏิบัติการ iOS เว็บไซต์ฟิชชิ่งที่กำหนดเป้าหมายไปที่แพลตฟอร์ม iOS ได้สั่งให้เหยื่อเพิ่ม Progressive Web App (PWA) ลงในหน้าจอหลักของพวกเขา
"สำหรับทั้งแพลตฟอร์ม Android และ iOS แอปฟิชชิ่งส่วนใหญ่แยกไม่ออกจากแอปธนาคารจริง ๆ ที่พวกเขาเลียนแบบ โดยพื้นฐานแล้วแอปพลิเคชัน PWA นั้นเป็นเว็บไซต์ที่ถูกรวมไว้ในแอปพลิเคชันที่ดูเหมือนแยกจากกัน ในขณะที่รูปลักษณ์ของแท้ยังได้รับการสนับสนุนโดยการใช้สิ่งที่เรียกว่าการแจ้งเตือนของระบบเนทีฟ - การแจ้งเตือนทางโทรศัพท์ แอป PWA เช่น เว็บไซต์ มีให้บริการในระบบปฏิบัติการที่แตกต่างกัน ซึ่งอธิบายว่าแคมเปญฟิชชิ่งเหล่านี้กำหนดเป้าหมายทั้งผู้ใช้ iOS และ Android ได้อย่างไร สำหรับผู้ใช้สมาร์ทโฟน iPhone แคมเปญดังกล่าวสามารถทำลายสมมติฐานที่มีมายาวนานเกี่ยวกับความปลอดภัยของ 'ระบบนิเวศแบบปิด' ของแพลตฟอร์ม iOSJakub Osmani นักวิเคราะห์ความปลอดภัยจากสาขาการวิจัยปรากของ ESET กล่าว ซึ่งวิเคราะห์วิธีการฟิชชิ่งแบบใหม่
คุณอาจจะสนใจ
โทรศัพท์ SMS และโฆษณาบนโซเชียลเน็ตเวิร์กถูกเรียกให้ดาวน์โหลด
แคมเปญฟิชชิ่งที่ค้นพบใช้สามวิธีที่แตกต่างกันเพื่อส่งที่อยู่เว็บที่เป็นอันตรายไปยังเหยื่อ ในบรรดากลไกเหล่านี้ ได้แก่ การโทรด้วยเสียงอัตโนมัติ การส่งข้อความ และการโฆษณาที่เป็นอันตราย (การโฆษณาที่เป็นอันตราย) บนโซเชียลเน็ตเวิร์ก การโทรด้วยเสียงดำเนินการผ่านการโทรอัตโนมัติ โดยผู้โจมตี "เตือน" ผู้ใช้เกี่ยวกับแอปธนาคารที่ล้าสมัย และแจ้งให้อัปเดตทันที จากนั้นผู้ใช้จะได้รับแจ้งให้เลือกขั้นตอนถัดไปบนแป้นพิมพ์ตัวเลข หลังจากกดปุ่มที่ถูกต้อง URL ฟิชชิ่งจะถูกส่งไปยังพวกเขาทาง SMS
"จากการค้นพบของเรา การกระจายที่อยู่ URL ปลอมเกิดขึ้นไปยังหมายเลขโทรศัพท์เช็กแบบสุ่ม ข้อความดังกล่าวมีลิงก์ฟิชชิ่งและข้อความที่ผู้โจมตีใช้หลอกให้เหยื่อคลิกลิงก์ แคมเปญที่เป็นอันตรายยังแพร่กระจายผ่านโฆษณาที่ลงทะเบียนบนโซเชียลเน็ตเวิร์กของ Meta เช่น Instagram และ Facebook โฆษณาเหล่านี้เรียกร้องให้มีการดำเนินการบางอย่าง เช่น การดาวน์โหลดการอัปเดตในรูปแบบของข้อเสนอที่จำกัดสำหรับผู้ใช้ออสมานีอธิบาย
ในกรณีของแพลตฟอร์ม Android หลังจากคลิก URL ที่เป็นอันตราย การโจมตีแบบฟิชชิ่งรูปแบบอื่นอีกสองรูปแบบก็ปรากฏขึ้น - หน้าฟิชชิ่งคุณภาพสูงเลียนแบบหน้าอย่างเป็นทางการของ Google Play Store พร้อมแอปพลิเคชันธนาคารที่ดาวน์โหลดได้ หรือ เว็บไซต์เลียนแบบแสดงตัวเลือกในการดาวน์โหลดใบสมัครธนาคารอีกครั้ง ในขั้นตอนถัดไป เหยื่อได้รับเชิญให้ติดตั้งแอปพลิเคชันธนาคาร "เวอร์ชันใหม่"
คุณอาจจะสนใจ
ผู้ใช้ไม่ได้รับคำเตือนเกี่ยวกับแอปฟิชชิ่งระหว่างการติดตั้ง
แคมเปญฟิชชิ่งที่อธิบายไว้และวิธีการต่างๆ สามารถทำได้ด้วยเทคโนโลยีของแอปพลิเคชันเว็บแบบก้าวหน้า - PWA เท่านั้น PWA สร้างขึ้นโดยใช้เทคโนโลยีแอปพลิเคชันเว็บแบบดั้งเดิมที่สามารถทำงานได้บนแพลตฟอร์มและอุปกรณ์ที่หลากหลาย แอปพลิเคชัน WebAPK ถือได้ว่าเป็นแอปพลิเคชันเว็บแบบก้าวหน้าเวอร์ชันที่สูงกว่า Chrome สร้าง APK ดั้งเดิมสำหรับ Android จาก PWA แอปพลิเคชัน WebAPK จะดูเหมือนแอปพลิเคชันดั้งเดิมทั่วไป ซึ่งเป็นแอปพลิเคชันที่มีไว้สำหรับระบบปฏิบัติการเดียวเท่านั้น ในกรณีนี้จะดูเหมือนแอปพลิเคชันดั้งเดิมสำหรับแพลตฟอร์ม Android นอกจากนี้ การติดตั้งแอป WebAPK ในแคมเปญฟิชชิ่งนี้จะไม่ทำให้เกิดคำเตือน "ติดตั้งแอปจากแหล่งที่ไม่น่าเชื่อถือ" แอปพลิเคชันดังกล่าวจะถูกติดตั้งแม้ว่าจะไม่อนุญาตให้ติดตั้งแอปพลิเคชันบุคคลที่สามก็ตาม
ตามที่นักวิเคราะห์จาก ESET ระบุว่ากลุ่มผู้โจมตีสองกลุ่มอยู่เบื้องหลังแคมเปญนี้ กลุ่มหนึ่งใช้บอทบนแพลตฟอร์มโซเชียล Telegram เพื่อบันทึกข้อมูลทั้งหมดที่ป้อนจากเหยื่อลงในแชทกลุ่มผ่าน Telegram API อย่างเป็นทางการ กลุ่มที่สองใช้เซิร์ฟเวอร์ควบคุม C&C แบบดั้งเดิมพร้อมแผงการดูแลระบบ
"จากข้อเท็จจริงที่ว่าผู้โจมตีใช้โครงสร้างพื้นฐานการจัดการที่แตกต่างกันสองแบบในแคมเปญที่ตรวจพบ มีแนวโน้มว่ากลุ่มผู้โจมตีสองกลุ่มที่แยกจากกันอยู่เบื้องหลังแคมเปญฟิชชิ่งต่อธนาคารเช็กสรุป Osmani จาก ESET
กรณีการวิเคราะห์ส่วนใหญ่เกิดขึ้นในสาธารณรัฐเช็ก มีแอปพลิเคชันฟิชชิ่งเพียงสองรายการเท่านั้นที่ปรากฏนอกภูมิภาคเช็ก โดยเฉพาะในฮังการีและจอร์เจีย ข้อมูลที่ละเอียดอ่อนทั้งหมดที่นักวิเคราะห์ ESET บันทึกไว้ในกรณีเหล่านี้จะถูกส่งไปยังธนาคารที่ได้รับผลกระทบทันทีเพื่อดำเนินการต่อไป ESET ยังช่วยลบโดเมนฟิชชิ่งและเซิร์ฟเวอร์ควบคุมหลายรายการอีกด้วย
