Minacce alle App Bancarie: L'Utilizzo delle PWA per Rubare Credenziali
Le app web progressive (PWA) stanno diventando un nuovo strumento nelle mani di attori malevoli per impersonare applicazioni bancarie e rubare credenziali da utenti Android e iOS. Queste applicazioni cross-platform possono essere installate direttamente dal browser, offrendo un'esperienza simile a quella delle app native grazie a funzionalità come le notifiche push e l'accesso all'hardware del dispositivo.
Come Funzionano le Campagne di Phishing
L'uso delle PWA nelle campagne di phishing consente di eludere i controlli di sicurezza, superare le restrizioni di installazione delle app e ottenere permessi rischiosi senza destare sospetti. La prima osservazione di questa tecnica risale a luglio 2023 in Polonia, seguita da una campagna a novembre che ha preso di mira utenti cechi.
Secondo la società di cybersecurity ESET, attualmente sono in corso due campagne distinte che utilizzano questa tecnica: una rivolta alla OTP Bank un'istituzione finanziaria ungherese e l'altra alla TBC Bank in Georgia. Le due campagne sembrano essere gestite da attori malevoli diversi, con una che utilizza un'infrastruttura di comando e controllo (C2) distinta per ricevere le credenziali rubate, mentre l'altra registra i dati rubati tramite Telegram.
Metodi di Attacco Utilizzati
ESET ha identificato una varietà di metodi per raggiungere il pubblico target, tra cui:
- Chiamate automatiche
- Messaggi SMS (smishing)
- Malvertising su campagne pubblicitarie su Facebook
Nei primi due casi, i criminali informatici ingannano gli utenti con messaggi falsi riguardanti l'aggiornamento dell'app bancaria, suggerendo la necessità di installare l'ultima versione per motivi di sicurezza, fornendo un URL per scaricare la PWA di phishing.
Nel caso delle pubblicità malevole sui social media, gli attori malevoli utilizzano il mascotte ufficiale della banca impersonata per creare un senso di legittimità e promuovere offerte a tempo limitato, come premi monetari per l'installazione di un presunto aggiornamento critico dell'app.
Il Funzionamento delle PWA Maligne
A seconda del dispositivo (verificato tramite l'intestazione HTTP User-Agent), cliccando sull'annuncio, la vittima viene indirizzata a una falsa pagina di Google Play o App Store. Cliccando sul pulsante ‘Installa’, l'utente viene indotto a installare una PWA malevola che si spaccia per un'app bancaria. In alcuni casi su Android, l'app malevola viene installata come WebAPK, un APK nativo generato dal browser Chrome.
L'app di phishing utilizza identificatori dell'app bancaria ufficiale (come logo e schermata di accesso dall'aspetto legittimo) e dichiara persino il Google Play Store come fonte del software.
Vantaggi delle PWA per i Criminali Informatici
Le PWA sono progettate per funzionare su più piattaforme, consentendo agli attaccanti di colpire un pubblico più ampio con una singola campagna di phishing. Il principale vantaggio risiede nella possibilità di eludere le restrizioni di installazione di Google e Apple per le app al di fuori degli store ufficiali, così come i messaggi di avviso per l'installazione da fonti sconosciute che potrebbero allertare le vittime sui rischi potenziali.
Le PWA possono imitare da vicino l'aspetto e la sensazione delle app native, rendendo quasi impossibile distinguere tra applicazioni legittime e malevole. Queste web app possono accedere a vari sistemi del dispositivo tramite API del browser, come geolocalizzazione, fotocamera e microfono, senza richiedere autorizzazioni dal sistema operativo mobile.
Inoltre, le PWA possono essere aggiornate o modificate dall'attaccante senza interazione dell'utente, consentendo alla campagna di phishing di essere adattata dinamicamente per un maggiore successo.
Un Trend Preoccupante
L'abuso delle PWA per il phishing rappresenta una tendenza emergente pericolosa che potrebbe espandersi man mano che più criminali informatici riconoscono il potenziale e i vantaggi di questa tecnica. Recentemente, è stata riportata la creazione di nuovi kit di phishing che prendono di mira account Windows utilizzando le PWA, sviluppati dal ricercatore di sicurezza mr.d0x per dimostrare come queste app possano essere utilizzate per rubare credenziali creando moduli di accesso aziendali convincenti.