Согласно новому отчету Группы реагирования на инциденты компьютерной безопасности Польши (CSIRT KNF), хакеры начали злоупотреблять технологией Android WebAPK, чтобы заставить людей устанавливать вредоносное ПО на свои устройства.
Android WebAPK — это базовая технология, на которой основаны так называемые прогрессивные веб-приложения или PWA. Это сочетание веб-приложений и нативных приложений, которые имеют некоторые общие функции и возможности обоих. Некоторые разработчики называют прогрессивные веб-приложения «устанавливаемыми сайтами», потому что они могут быть установлены на устройстве и предлагают такие функции, как push-уведомления, которые обычно не являются частью веб-приложения.
Кроме того, при установке прогрессивных веб-приложений пользователям не нужно заходить в Play Store. Google объясняет это так: «Когда пользователь устанавливает PWA из Google Chrome и использует WebAPK, «mint» (пакеты) и сервер минтинга подписывают APK для PWA». браузер на целевой конечной точке автоматически устанавливает устройство, не отключая систему безопасности, поскольку доверенный поставщик уже подписал APK.
В данном конкретном случае неизвестные злоумышленники начали рассылать клиентам текстовые сообщения, выдавая себя за польский банк PKO Bank Polski. В СМС пишут, что нужно обновить банковское приложение и дают ссылку, где можно это сделать. Те, кто нажимает на ссылку, перенаправляются не в Play Store или любой другой репозиторий приложений для Android, а на веб-сайт, где вредоносное ПО установлено с использованием технологии WebAPK.
После установки вредоносного приложения пользователям предлагается ввести свои учетные данные, а также код многофакторной аутентификации (MFA), что дает злоумышленникам все необходимое для полной очистки учетной записи.
Анализ: Почему это важно?
Банковские трояны представляют большую опасность, поскольку могут нанести огромный материальный ущерб. Злоумышленники, стоящие за этими кампаниями, редко избегают нападения на потребителей, что увеличивает риск. Кроме того, злоумышленники сделают все возможное, чтобы как можно лучше выдать себя за банк, создавая внешне идентичные целевые страницы и имитируя стиль и тон общения банков.
Однако эта конкретная кампания также опасна, поскольку использует новые технологии и открывает новые возможности для злоупотреблений. Это может застать врасплох жертв, даже тех, кто обычно заботится о безопасности и знает об опасностях фишинга и социальной инженерии. Если кампания окажется успешной, есть большая вероятность, что к ней присоединятся и другие субъекты угрозы.
Чтобы защититься от таких мошеннических приложений, пользователи должны быть осторожны, особенно при установке новых приложений или установке исправлений для своего текущего стека программного обеспечения. Лучше всего не устанавливать приложения, которых нет в официальных репозиториях, таких как Play Store или Samsung Galaxy Store. Пользователи также должны перепроверять все, что они получают по SMS, электронной почте или в социальных сетях. Если приложение отправляет SMS с запросом на обновление, перейдите на официальный сайт или страницу в магазине приложений и проверьте, доступно ли обновление. Пользователи также найдут в списке последнюю версию приложения и смогут сравнить цифры с версией, которую они установили.
Наконец, пользователям следует оставить Google Play Protect включенным, так как это бесплатное антивирусное приложение, которое поставляется в комплекте с большинством телефонов Android и достаточно хорошо для обнаружения большинства вредоносных программ, существующих сегодня. Пользователи также могут в любое время установить другое антивирусное приложение для Android.
Что другие говорят о кампании?
Дас пишет в своей статье о неправомерном использовании технологии WebAPK в киберпреступности. Блог о кибербезопасности В нем также говорится, что мошенники сочетают атаку с кражей личных данных, чтобы обойти все меры безопасности, принятые банком: «Помимо атаки WebAPK, киберпреступники также используют специализированные инструменты для спуфинга устройств, чтобы выдать себя за владельцев скомпрометированных учетных записей и обойти средства защиты от мошенничества. «, — говорится в отчете. «Эти инструменты, продаваемые в темной сети, способны подделывать отпечатки пальцев мобильных устройств и другое программное обеспечение и сетевые параметры, анализируемые системами защиты от мошенничества». ».
Гид ТомаС другой стороны, пользователь предупреждает, что вредоносные приложения, распространяемые через WebAPK, «особенно трудно» отслеживать исследователям кибербезопасности, поскольку WebAPK имеют разные имена пакетов и контрольные суммы на каждом устройстве, на котором они установлены. Кроме того, в настоящее время выдает себя только за польский банк PKO Bank Polski. Однако это может измениться в любое время, поскольку мошенники нацелились на банки в США, Великобритании и по всему миру, говорится в публикации. Поэтому пользователи должны сохранять бдительность независимо от того, кто и как отправил сообщение.
идти глубже
Если вы хотите узнать больше о том, как обеспечить безопасность вашего Android-устройства, начните с нашего подробного руководства по лучшим устройствам. антивирусные программы для андроид прямо сейчас, а также лучшие телефоны андроид в итоге. Также обязательно прочитайте наше руководство приложения для аутентификацииИ лучшие брандмауэры Сегодня.
