Измамниците се научиха да заобикалят сигурността на Android и iOS

Измамниците се научиха да заобикалят сигурността на Android и iOS благодарение на прогресивни уеб приложения (снимка: CC0 Public Domain)

Създателите на фишинг измами са намерили метод да заобиколят механизмите, ориентирани против мобилни приложения за кражба на персонална информация. Тези ограничения не работят против прогресивните уеб приложения (PWA), чиито привилегии са по-ниски и опциите им са по-скромни.

В iOS можете да инсталирате приложения единствено от App Store, а в Android по дифолт можете да инсталирате приложения единствено от Гугъл Play – в случай че се опитате да употребявате различен източник, системата демонстрира предизвестие. Но в последните месеци са засечени фишинг акции, които целят да подмамят жертвите да конфигурират злонамерено приложение, което се маскира като формален банков клиент. Веднъж конфигуриран, той краде данни от акаунта и ги изпраща на нападателя в действително време посредством Telegram, предизвестяват специалистите от ESET.

При офанзива на консуматори на iOS се употребява обичаен PWA – уеб страница, създаден от хакерите, се отваря не посредством браузър, а с реплика на пълноценно приложение. Потребителите на Android в някои случаи са подмамени да конфигурират специфична негова подверсия – WebAPK.

Атаката стартира, когато евентуална жертва получи текстово известие, автоматизирано позвъняване или кликне върху злонамерена рекламна връзка във Фейсбук или Instagram. След като отворят връзката, потребителите биват отвеждани до страница, която имитира App Store или Гугъл Play.

В случая на iOS, инсталирането на PWA е малко по-различно от инсталирането на общоприетоо приложение – на потребителя се демонстрира изскачащ прозорец с указания за инсталиране, симулиращ редовно известие от платформата.

Ако консуматор на Android е конфигурирал WebAPK посредством Гугъл Play, тогава неговата зоркост е приспивана от описанието, което гласи, че приложението няма систематични привилегии.

Във всички случаи, след инсталирането, потребителят е подканен да вкара своите идентификационни данни за достъп до онлайн банкирането и цялата въведена информация се изпраща на сървър, следен от измамниците.

Новата скица сега се употребява най-вече в Чешката република, само че произшествия към този момент са маркирани в Унгария и Грузия. Експертите по киберсигурност допускат, че броят на сходни произшествия ще нараства и географията им ще се уголемява.