攻击手法罕见！ESET披露最新网络钓鱼活动，专门针对Android、iPhone用户

ESET研究人员发现了一种罕见的网络钓鱼活动，专门针对Android和iPhone用户。他们分析了一个在野外观察到的案例，该案例主要是针对一家著名的捷克银行的客户。

值得注意的是这种攻击主要是从第三方网站安装钓鱼应用程序，而无需用户主动安装。这有可能导致使用安卓系统的用户设备上会被隐秘安装一种特殊的APK，隐蔽性很高，很难发现，它看起来甚至有点像是用户从Google Play商店安装的。这种钓鱼攻击威胁也针对iOS用户。

PWA网络钓鱼流程（来源：ESET）

针对iOS的钓鱼网站会指示受害者在主屏幕上添加渐进式网络应用程序 (PWA)，而在Android上，PWA是在浏览器中确认自定义弹出窗口后安装的。在这一点上，这些钓鱼应用程序与它们在这两个操作系统上模仿的真实银行应用程序基本没有区别。

PWA本质上是将网站捆绑到一个看似独立的应用程序中，并通过使用本地系统提示增强了其虚假的独立性。与网站一样，PWA也是跨平台的，这就解释了为什么这些PWA网络钓鱼活动可以既针对iOS又针对Android用户。负责ESET品牌情报服务的ESET分析师在捷克观察到了这种新技术，该服务可监控针对客户品牌的威胁。

分析该威胁的ESET研究员Jakub Osmani表示：对于iPhone用户来说，这种行为可能会打破任何有关安全的‘围墙花园’假设。

ESET发现使用电话、短信和恶意广告的网络钓鱼欺诈行为

ESET分析师发现了一系列针对移动用户的网络钓鱼活动，这些活动分别使用了三种不同的URL发送机制，包括自动语音呼叫、短信和社交媒体恶意广告。语音电话发送是通过自动呼叫完成的，该呼叫会警告用户银行应用程序已过期，并要求用户在数字键盘上选择一个选项。

按下正确的按钮后，就会通过短信发送一个钓鱼网址，正如一条推文所报道的那样。最初的短信发送是通过向捷克电话号码滥发信息来实现的。发送的信息包括一个钓鱼链接和文本，目的是让受害者通过社交工程访问该链接。恶意活动通过Instagram和Facebook等Meta平台上的注册广告进行传播。这些广告包括行动号召，比如为 “下载以下更新 ”的用户提供限量优惠。

打开第一阶段发送的URL后，Android受害者会看到两个截然不同的活动，一个是模仿目标银行应用程序官方Google Play商店页面的高质量钓鱼页面，另一个是该应用程序的山寨网站。受害者会被要求安装 “新版 ”银行应用程序。

WebAPK绕过安全警告

这种网络钓鱼活动和方法之所以能够得逞，完全得益于渐进式网络应用程序的技术。简而言之，渐进式网络应用程序是使用传统网络应用程序技术构建的应用程序，可以在多个平台和设备上运行。

WebAPK可被视为渐进式网络应用程序的升级版，因为Chrome浏览器会从PWA（即 APK）生成本地Android应用程序。这些WebAPK看起来就像普通的本地应用程序。此外，安装WebAPK不会产生任何 “从不可信来源安装 ”的提示警告。

某小组曾尝试通过Telegram官方API将所有输入信息记录到Telegram群组聊天中，而另一个小组则使用带有管理面板的传统命令与控制（C&C）服务器。Osmani表示：根据这些活动使用了两种不同的C&C基础设施这一事实，我们确定是两个不同的团伙在针对多家银行实施PWA/WebAPK网络钓鱼活动。大多数已知案例都发生在捷克，只有两个网络钓鱼应用程序出现在捷克境外（特别是匈牙利和格鲁吉亚）。

ESET的研究人员在调查中发现的所有披露在网上的敏感信息，银行都已迅速跟进处理。ESET方面也协助删除了多个网络钓鱼域和C&C服务器。

来源FreeBuf，如有侵权请联系删除。