Gli esperti di ESET hanno individuato diverse campagne di phishing che prendono di mira gli utenti mobile. Sfruttando Progressive Web App (PWA) simili alle app ufficiali, i cybercriminali cercano di rubare le credenziali di accesso ai conti bancari. Gli attacchi sono stati rilevati in quattro paesi, ma il numero potrebbe aumentare.
PWA per accedere al conto corrente
Le Progressive Web App (PWA) sono in pratica siti web che offrono funzionalità simili alle app tradizionali, ma a differenza di queste ultime possono aggirare i controlli di sicurezza e ottenere permessi senza mostrare avvisi. I primi attacchi sono stati rilevati in Polonia e Repubblica ceca. I più recenti hanno preso di mira gli utenti in Ungheria e Georgia.
Gli esperti di ESET hanno individuato tre metodi per ingannare le vittime: chiamate vocali automatizzate, SMS e malvertising sui social media. Nel primo caso, i cybercriminali avvertono l’utente che l’app bancaria deve essere aggiornata e chiedono di premere un numero. Viene quindi inviato un SMS con il link al sito da cui scaricare l’aggiornamento. Lo stesso SMS viene inviato con il secondo metodo. Nel terzo caso viene mostrata una falsa inserzione della banca su Facebook o Instagram che invita l’utente a scaricare l’aggiornamento per ottenere un premio.
In alcuni casi, su Android viene installata un’app nel formato WebAPK generato da Chrome. La PWA ha un aspetto identico a quello dell’app ufficiale. Se l’ignara vittima effettua il login, le credenziali sono inviate ad un server remoto e quindi finiscono nelle mani dei cybercriminali.
Le PWA possono anche accedere a fotocamera, microfono, geolocalizzazione e altre risorse, senza richiedere permessi espliciti. Possono essere anche aggiornate senza l’interazione dell’utente. È quindi possibile eseguire diverse attività pericolose, oltre al furto delle credenziali.