Зловмисники узялись за прогресивні web-застосунки: постраждали клієнти банків Угорщини, Чехії та Грузії
Зловмисники почали активно використовувати прогресивні web-застосунки для фішингу. Про це свідчить аналітика компанії ESET. Через дії шахраїв постраждали клієнти банків у Чехії, Угорщини та Грузії.
Компанія ESET спеціалізується на розробці програмного забезпечення для кіберзахисту. Аналітики компанії помітили нову фішингову схему зловмисників, в якій використовуються прогресивні web-застосунки.
Для більшого розуміння прогресивні web-застосунки (PWA) надають доступ до сайту, інтерфейс якого розроблено у вигляді мобільного додатку. Такі застосунки є доволі простими в розробці, адже не потребують адаптації для різних платформ. Відповідно, їх досить легко розповсюджувати.
Саме цим і користуються шахраї. Вони копіюють мобільні додатки банків та розсилають за допомогою автоматизованих голосових дзвінків, SMS-повідомлень та реклами в соціальних мережах клієнтам посилання на них.
Зокрема, вразливою для таких додатків є операційна система Android. Адже у ній прогресивні web-застосунки (PWA) можуть бути встановлені як WebAPK. А це дозволяє обійти попередження від браузера. Отож користувач не дізнається про потенційну небезпеку від їхнього використання. Відрізнити ж PWA від звичайних додатків доволі важко.
Та жертвами такого фішингу стають не лише користувачі Android. Власники девайсів з системою iOS також нерідко отримують пропозиції встановити PWA на головний екран. У підсумку жертва зловмисників вводить у додатку особисті дані, які потрапляють на сторонні сервери шахраїв.
Вперше таку схему аналітики помітили у листопаді минулого року. Активне використання PWA зловмисниками щонайменше тривало до початку літа 2024 року. Такий спосіб фішингу шахраї переважно використовували у Чехії. Зокрема, постраждав один із великих чеських банків. Зловмисники розсилали у Facebook рекламу, яка містила символіку та корпоративний дизайн фінустанови. Також подібна атака здійснювалась на угорський OTP Bank та грузинський TBC Bank.
Нині відомо, що фішинговими атаками з використанням PWA займалось щонайменше два угруповання зловмисників. Одне з них реєструвало всі отримані від жертв дані у Telegram-боті через офіційний API Telegram. Інше ж угруповання користувалось традиційний C&C сервером.