Új adathalász technikával lopnak banki adatokat


Kártékony aktorok progresszív webes alkalmazásokat (PWA) kezdtek használni arra, hogy banki alkalmazásokat személyesítsenek meg és hitelesítő adatokat lopjanak el Android és iOS felhasználóktól – olvasható a Nemzeti Kibervédelmi Intézet honlapján.

A PWA egy olyan keresztplatformos alkalmazás, amely közvetlenül a böngészőből telepíthető, és olyan funkciókkal kínál natívhoz hasonló élményt, mint a push-értesítések, az eszköz hardveréhez való hozzáférés és a háttérben zajló adatszinkronizálás.

Az ilyen típusú alkalmazások használata az adathalász kampányokban lehetővé teszi a felderítés és az alkalmazások telepítési korlátozásainak megkerülését, valamint a kockázatos engedélyekhez való hozzáférés igénylésének elkerülését az eszközön. A technikát először 2023 júliusában figyelték meg Lengyelországban és novemberben Csehországban.

Az ESET kiberbiztonsági vállalat jelentése szerint jelenleg két különböző, erre a technikára támaszkodó kampányt követ nyomon: az egyik a magyarországi OTP Bank pénzintézetet, a másik pedig a grúz bankot veszi célba. Minden jel arra utal, hogy a két kampányt különböző fenyegetettségi szereplők működtetik. Az egyik egy különálló C2 infrastruktúrát használ az ellopott hitelesítő adatok fogadására, míg a másik csoport a Telegramon keresztül naplózza az ellopott adatokat.

Az ESET szerint a támadók olyan módszereket használnak, mint az automatizált hívások, SMS-üzenetek (smishing) és a Facebook-hirdetési kampányokban jól kidolgozott rosszindulatú hirdetések.

Az első két esetben a kiberbűnözők egy hamis üzenettel csapják be a felhasználókat azzal, hogy a banki alkalmazásuk elavult, és biztonsági okokból a legújabb verziót kell telepíteniük, és egy URL-t adnak meg az adathalász PWA letöltéséhez. A közösségi médiában megjelenő rosszindulatú hirdetések esetében az aktorok a megszemélyesített bank hivatalos kabalafiguráját használják arra, hogy a legitimitás érzetét keltsék, és korlátozott idejű ajánlatokat, például pénzjutalmat népszerűsítsenek egy állítólag kritikus fontosságú alkalmazásfrissítés telepítéséért.

További részletek olvashatók a Nemzeti Kibervédelmi Intézet weboldalán


Kapcsolódó cikkek