PWA网络钓鱼，针对Android、iOS金融欺诈活动

文章预览

在捷克共和国、匈牙利和格鲁吉亚的金融欺诈活动中，最近发现了一种复杂的移动网络钓鱼技术。 这种网络钓鱼方法利用 渐进式Web应用程序PWA，提供类似本机应用程序的体验，主要在Android和iOS设备上出现 。 01   iOS 和Android上的PWA网络钓鱼 这种新型的网络钓鱼技术之所以能够实施，是利用PWA的工作特性诱导用户下载并运行恶意软件，而无需用户明确允许第三方手机应用的安装。 在iOS上， 网络钓鱼网站冒充知名应用程序的登录页面，并指示受害者将PWA添加到他们的主屏幕。 在登录页面建立之前，某个威胁通过修改PWA的清单文件，使得PWA能够独立运行，并且其行为与普通的移动应用相似。 PWA工作原理的简化图 来源：ESET 在Android设备上， 当用户在浏览器中确认了自定义的弹出窗口后，PWA会被安装。这会导致用户静默地安装Web Android包工具包（WebAPK ………………………………