Çek Cumhuriyeti’ndeki mobil kullanıcılar, banka hesap bilgilerini çalmak amacıyla İlerici Web Uygulaması (PWA) kullanan yeni bir kimlik avı kampanyasının hedefi oldu.
Slovak siber güvenlik şirketi ESET’e göre saldırılar, Çekya merkezli Československá obchodní banka (CSOB), Macar OTP Bank ve Gürcistan TBC Bank’ı hedef aldı.
Güvenlik araştırmacısı Jakub Osmani, “iOS’u hedef alan kimlik avı siteleri, kurbanlara ana ekranlarına bir İleri Web Uygulaması (PWA) eklemelerini söylerken, Android’de PWA, tarayıcıdaki özel açılır pencereler onaylandıktan sonra yükleniyor” dedi.
“Bu noktada, her iki işletim sisteminde de bu kimlik avı uygulamaları, taklit ettikleri gerçek bankacılık uygulamalarından büyük ölçüde ayırt edilemez durumdadır.”
Bu taktiğin dikkat çekici yanı, kullanıcıların Android’e, yan yüklemeye özel olarak izin vermelerine gerek kalmadan, üçüncü taraf bir siteden PWA veya bazı durumlarda WebAPK’lar yüklemeye kandırılmalarıdır.
Kullanılan komuta ve kontrol (C2) sunucuları ve arka uç altyapısının analizi, kampanyaların arkasında iki farklı tehdit aktörünün olduğunu ortaya koyuyor.
Bu web siteleri otomatik sesli aramalar, SMS mesajları ve Facebook ve Instagram üzerinden sosyal medya kötü amaçlı reklamları aracılığıyla dağıtılır. Sesli aramalar kullanıcıları güncel olmayan bir bankacılık uygulaması hakkında uyarır ve sayısal bir seçenek seçmelerini ister, ardından kimlik avı URL’si gönderilir.
Bağlantıya tıklayan kullanıcılara, hedeflenen bankacılık uygulamasının Google Play Store girişini taklit eden benzer bir sayfa veya uygulamanın bir kopyası gösteriliyor ve sonuç olarak bir uygulama güncellemesi kisvesi altında PWA veya WebAPK uygulamasının “yüklenmesine” yol açıyor.
“Bu kritik kurulum adımı, ‘bilinmeyen uygulamalar yükleniyor’ şeklindeki geleneksel tarayıcı uyarılarını atlatıyor: Bu, saldırganlar tarafından kötüye kullanılan Chrome’un WebAPK teknolojisinin varsayılan davranışıdır,” diye açıkladı Osmani. “Ayrıca, bir WebAPK yüklemek, ‘güvenilmeyen bir kaynaktan yükleme’ uyarılarından hiçbirini üretmez.”
Apple iOS cihazları kullananlar için sahte PWA uygulamasını Ana Ekrana eklemek için talimatlar sağlanır. Kampanyanın nihai hedefi, uygulamaya girilen bankacılık kimlik bilgilerini ele geçirmek ve bunları saldırgan tarafından kontrol edilen bir C2 sunucusuna veya bir Telegram grup sohbetine sızdırmaktır.
ESET, PWA üzerinden kimlik avı yapan ilk saldırının Kasım 2023’ün başlarında kaydedildiğini, ardından Mart ve Mayıs 2024’te de sonraki dalgaların tespit edildiğini duyurdu.
Bu açıklama, siber güvenlik araştırmacılarının, Google Play Store’u taklit eden kimlik avı siteleri veya çeşitli bankaları veya hükümet kuruluşlarını taklit eden siteler aracılığıyla yayılan Gigabud Android Truva atının yeni bir türünü ortaya çıkarmasının ardından geldi.
Broadcom’un sahibi olduğu Symantec, “Kötü amaçlı yazılımın, enfekte cihaz hakkında veri toplama, bankacılık bilgilerini sızdırma, ekran kayıtlarını toplama vb. gibi çeşitli yetenekleri bulunuyor” dedi.
Ayrıca Silent Push’un, DukeEugene adlı bir tehdit aktörü tarafından işletilen ERMAC, BlackRock, Hook, Loot ve Pegasus (NSO Group’un aynı adlı casus yazılımıyla karıştırılmamalıdır) gibi çeşitli Android bankacılık trojanları için 24 farklı kontrol paneli keşfetmesini de takip etti.