TM_565

8 29|8|2024 #565 Το ερευνητικό κέντρο τη ς ESET ε ντόπι- σε μια ασυνήθιστη εκστρατεία phishing σε χρήστες κινητών τηλεφώνων και ανέλυσε περιστατικό ηλεκτρονικού ψα- ρέματος που είχε βάλει στο στόχαστρο πελάτες γνωστής τσεχικής τράπεζας. Αυτή η μέθοδος χρήζει προσοχής επει- δή εγκαθιστά την εφαρμογή phishing από μια ιστοσελίδα τρίτου φορέα, χωρίς ο χρήστης να δώσει άδεια εγκατάστα- σης εφαρμογών τρίτων φορέων. Στο Android, αυτό μπορεί να οδηγήσει στη «σιωπηλή» εγκατάσταση ενός ειδικού αρχείου APK, το οποίο μάλιστα παρου- σιάζεται σαν να έχει εγκατασταθεί από το Google Play. Η εκστρατεία είχε στόχο και χρήστες iPhone (iOS). Οι ιστοσελίδες phishing που έχουν στόχο το λογισμικό iOS καλούν τα θύ- ματα να προσθέσουν μια Προοδευτική Εφαρμογή Ιστού (PWA) στην αρχική τους οθόνη, ενώ στο Android, η PWA εγκαθίσταται μετά την επιβεβαίωση αναδυόμενων παραθύρων στο πρό- γραμμα περιήγησης. Σε αυτό το σημείο, και στα δύο λειτουργικά συστήματα, οι εφαρμογές phishing μοιάζουν σε μεγά- λο βαθμό με τις πραγματικές τραπεζι- κές εφαρμογές τις οποίες μιμούνται. Οι PWAs είναι ουσιαστικά ιστοσελίδες που μοιάζουν με αυτόνομες εφαρμογές, με την αίσθηση αυτή να ενισχύεται από τη χρήση εντολών του συστήματος. Οι PWAs είναι cross-platform, γεγονός που εξηγεί πώς αυτές οι εκστρατείες έχουν ως στόχο τόσο χρήστες iOS όσο και χρή- στες Android. Η νέα τεχνική παρατηρή- θηκε στην Τσεχία από τους ερευνητές της ESET που εργάζονται στην υπηρε- σία ESET Brand Intelligence Service, η οποία παρακολουθεί τις απειλές κατά των εμπορικών σημάτων ενός πελάτη. Η εκστρατεία phishing που αποκάλυ- ψαν οι ερευνητές της ESET χρησιμοποι- ούσε τρεις διαφορετικούς μηχανισμούς για τη διανομή διευθύνσεων URL. Αυτοί οι μηχανισμοί περιλαμβάνουν αυτομα- τοποιημένες φωνητικές κλήσεις, μηνύ- ματα SMS και κακόβουλη διαφήμιση στα μέσα κοινωνικής δικτύωσης. Στη μια περίπτωση, η διανομή της διεύθυν- σης URL γίνεται μέσω μιας αυτοματο- ποιημένης κλήσης που προειδοποιεί τον χρήστη για μια τραπεζική εφαρμογή που χρειάζεται ενημέρωση και του ζητά να πατήσει ένα κουμπί στο πληκτρο- λόγιο. Αφού πατηθεί το σωστό κουμπί, αποστέλλεται μέσω SMS μια διεύθυν- ση URL phishing. Η διανομή μέσω SMS πραγματοποιήθηκε με την αποστολή μηνυμάτων αδιακρίτως σε αριθμούς τηλεφώνου στην Τσεχία. Το μήνυμα που εστάλη περιλάμβανε μια διεύθυν- ση URL phishing και κείμενο για την εξαπάτηση των θυμάτων. Η κακόβου- λη εκστρατεία διαδόθηκε επίσης μέσω διαφημίσεων σε πλατφόρμες της Meta, όπως το Instagram και το Facebook. Αυτές οι διαφημίσεις περιλάμβαναν κά- ποια περιορισμένη προσφορά για τους χρήστες που θα «κατεβάσουν την ακό- λουθη ενημέρωση». Μετά το άνοιγμα της διεύθυνσης URL που παραδόθηκε στο πρώτο στάδιο, οι χρήστες Android κατευθύνονται είτε σε μια σελίδα phishing που μιμείται την επίσημη σελίδα του καταστήματος Google Play για τη συγκεκριμένη τρα- πεζική εφαρμογή, είτε σε μια ψεύτικη ιστοσελίδα της εν λόγω εφαρμογής. Από εδώ, τα θύματα καλούνται να εγκα- ταστήσουν μια «νέα έκδοση» της τραπε- ζικής εφαρμογής. Η εκστρατεία και η μέθοδος phishing είναι δυνατές μόνο λόγω της τεχνολο- γίας των Προοδευτικών Εφαρμογών Ιστού (PWA). Εν συντομία, αυτές είναι εφαρμογές που έχουν δημιουργηθεί με τη χρήση παραδοσιακών τεχνολογι- ών εφαρμογών ιστού και μπορούν να τρέξουν σε πολλαπλές πλατφόρμες και συσκευές. Τα WebAPKs θα μπορούσαν να θεωρηθούν μια αναβαθμισμένη έκ- δοση των Προοδευτικών Εφαρμογών Ιστού (PWA), καθώς το πρόγραμμα περι- ήγησης Chrome παράγει μια εφαρμογή Android από μια PWA: Με άλλα λόγια, ένα APK. Αυτά τα WebAPKs μοιάζουν με κανονικές εφαρμογές. Επιπλέον, η εγκατάσταση ενός WebAPK δεν προκα- λεί καμία από τις προειδοποιήσεις για «εγκατάσταση από μη αξιόπιστη πηγή». Η εφαρμογή θα εγκατασταθεί ακόμη και αν η εγκατάσταση από τρίτες πηγές δεν επιτρέπεται. Οικονομική απάτη με νέα μέθοδο phishing