黑客通过 PWA 应用窃取 iOS、Android 用户的银行凭证

主要观点总结

文章讲述了安全研究人员发现威胁者使用渐进式Web应用程序（PWA）冒充银行应用程序窃取Android和iOS用户凭据的事件。PWA是一种跨平台应用程序，可直接从浏览器安装并提供类似原生体验。这种技术在网络钓鱼活动中被用于逃避检测、绕过应用程序安装限制，并获取危险权限。感染链包括自动呼叫、短信和Facebook广告中的恶意广告。攻击者使用虚假的银行应用程序安装链接诱导用户安装钓鱼PWA，并在Android上以WebAPK形式安装恶意应用程序。PWAs的跨平台特性使其成为一种有吸引力的网络钓鱼工具，可以绕过应用商店安装限制并模仿原生应用的外观和感觉。

关键观点总结

关键观点1: 威胁者使用渐进式Web应用程序冒充银行应用程序进行网络钓鱼。

这种活动可以逃避检测，绕过应用程序安装限制，并获取设备上危险权限的访问权限。

关键观点2: 感染链包括自动呼叫、短信和Facebook广告中的恶意广告。

攻击者使用虚假的银行应用程序安装链接诱导用户点击，进而感染恶意PWA。

关键观点3: PWAs的特性和优势被网络犯罪分子利用。

PWAs可以绕过官方应用商店的应用安装限制，紧密模仿原生应用的外观和感觉，几乎无法区分。

关键观点4: 攻击者可以通过单一网络钓鱼活动和有效载荷瞄准更广泛的受众。

移动设备上使用PWAs的吸引力在于其跨平台特性，可以针对更广泛的受众进行攻击。

文章预览

近期，安全研究人员发现威胁者开始使用渐进式 Web 应用程序冒充银行应用程序并窃取 Android 和 iOS 用户的凭据。 渐进式 Web 应用程序 (PWA) 是跨平台应用程序，可以直接从浏览器安装，并通过推送通知、访问设备硬件和后台数据同步等功能提供类似原生的体验。 在网络钓鱼活动中使用此类应用程序可以逃避检测，绕过应用程序安装限制，并获得设备上危险权限的访问权限，而无需向用户提供可能引起怀疑的标准提示。 该技术于 2023 年 7 月在波兰首次被发现，而同年 11 月发起的后续活动则针对捷克用户。 网络安全公司 ESET 报告称，它目前正在追踪两个依赖这种技术的不同活动，一个针对匈牙利金融机构 OTP Bank，另一个针对格鲁吉亚的 TBC Bank。 然而，这两起攻击活动似乎是由不同的威胁分子发起的。其中一个组织使用不同的命令和控制 (C2) 基础设施 ………………………………