ESET 研究人員發(fā)現(xiàn)了一種罕見的網(wǎng)絡釣魚活動，專門針對 Android 和 iPhone 用戶。他們分析了一個在野外觀察到的案例，該案例主要是針對一家著名的捷克銀行的客戶。

值得注意的是這種攻擊主要是從第三方網(wǎng)站安裝釣魚應用程序，而無需用戶主動安裝。這有可能導致使用安卓系統(tǒng)的用戶設備上會被隱秘安裝一種特殊的 APK，隱蔽性很高，很難發(fā)現(xiàn)，它看起來甚至有點像是用戶從 Google Play 商店安裝的。這種釣魚攻擊威脅也針對 iOS 用戶。

PWA 網(wǎng)絡釣魚流程（來源：ESET）

針對 iOS 的釣魚網(wǎng)站會指示受害者在主屏幕上添加漸進式網(wǎng)絡應用程序 (PWA)，而在 Android 上，PWA 是在瀏覽器中確認自定義彈出窗口后安裝的。在這一點上，這些釣魚應用程序與它們在這兩個操作系統(tǒng)上模仿的真實銀行應用程序基本沒有區(qū)別。

PWA 本質(zhì)上是將網(wǎng)站捆綁到一個看似獨立的應用程序中，并通過使用本地系統(tǒng)提示增強了其虛假的獨立性。與網(wǎng)站一樣，PWA 也是跨平臺的，這就解釋了為什么這些 PWA 網(wǎng)絡釣魚活動可以既針對 iOS 又針對 Android 用戶。負責 ESET 品牌情報服務的 ESET 分析師在捷克觀察到了這種新技術，該服務可監(jiān)控針對客戶品牌的威脅。

分析該威脅的 ESET 研究員 Jakub Osmani 表示：對于 iPhone 用戶來說，這種行為可能會打破任何有關安全的‘圍墻花園’假設。

ESET 發(fā)現(xiàn)使用電話、短信和惡意廣告的網(wǎng)絡釣魚欺詐行為

ESET 分析師發(fā)現(xiàn)了一系列針對移動用戶的網(wǎng)絡釣魚活動，這些活動分別使用了三種不同的 URL 發(fā)送機制，包括自動語音呼叫、短信和社交媒體惡意廣告。語音電話發(fā)送是通過自動呼叫完成的，該呼叫會警告用戶銀行應用程序已過期，并要求用戶在數(shù)字鍵盤上選擇一個選項。

按下正確的按鈕后，就會通過短信發(fā)送一個釣魚網(wǎng)址，正如一條推文所報道的那樣。最初的短信發(fā)送是通過向捷克電話號碼濫發(fā)信息來實現(xiàn)的。發(fā)送的信息包括一個釣魚鏈接和文本，目的是讓受害者通過社交工程訪問該鏈接。惡意活動通過 Instagram 和 Facebook 等 Meta 平臺上的注冊廣告進行傳播。這些廣告包括行動號召，比如為 “下載以下更新 ”的用戶提供限量優(yōu)惠。

打開第一階段發(fā)送的 URL 后，Android 受害者會看到兩個截然不同的活動，一個是模仿目標銀行應用程序官方 Google Play 商店頁面的高質(zhì)量釣魚頁面，另一個是該應用程序的山寨網(wǎng)站。受害者會被要求安裝 “新版 ”銀行應用程序。

WebAPK 繞過安全警告

這種網(wǎng)絡釣魚活動和方法之所以能夠得逞，完全得益于漸進式網(wǎng)絡應用程序的技術。簡而言之，漸進式網(wǎng)絡應用程序是使用傳統(tǒng)網(wǎng)絡應用程序技術構建的應用程序，可以在多個平臺和設備上運行。

WebAPK 可被視為漸進式網(wǎng)絡應用程序的升級版，因為 Chrome 瀏覽器會從 PWA（即 APK）生成本地 Android 應用程序。這些 WebAPK 看起來就像普通的本地應用程序。此外，安裝 WebAPK 不會產(chǎn)生任何 “從不可信來源安裝 ”的提示警告。

某小組曾嘗試通過 Telegram 官方 API 將所有輸入信息記錄到 Telegram 群組聊天中，而另一個小組則使用帶有管理面板的傳統(tǒng)命令與控制（C&C）服務器。Osmani 表示：根據(jù)這些活動使用了兩種不同的 C&C 基礎設施這一事實，我們確定是兩個不同的團伙在針對多家銀行實施 PWA/WebAPK 網(wǎng)絡釣魚活動。大多數(shù)已知案例都發(fā)生在捷克，只有兩個網(wǎng)絡釣魚應用程序出現(xiàn)在捷克境外（特別是匈牙利和格魯吉亞）。

ESET 的研究人員在調(diào)查中發(fā)現(xiàn)的所有披露在網(wǎng)上的敏感信息，銀行都已迅速跟進處理。ESET 方面也協(xié)助刪除了多個網(wǎng)絡釣魚域和 C&C 服務器。