Аналитики ESET обнаружили серию фишинговых кампаний, которые направлены на мобильных пользователей. Кампании использовали различные методы доставки URL-адресов, включая автоматические голосовые звонки, SMS-сообщения и вредоносную рекламу в социальных сетях.
Обзор
При открытии URL-адреса жертвам Android открывается фишинговая страница, имитирующая магазин Google Play, и предлагается установить фишинговое приложение. Установка приложений обходит предупреждения браузера об "установке неизвестных приложений". У пользователей iOS предлагается добавить фишинговое приложение на домашний экран. Фишинговые приложения в обеих операционных системах практически неотличимы от настоящих банковских приложений и могут быть направлены как на пользователей Android, так и на iOS. Были обнаружены кампании, направленные на клиентов чешских, венгерских и грузинских банков.
Фишинговые кампании были направлены на клиентов чешских банков, но также были обнаружены случаи, нацеленные на венгерский OTP Bank и грузинский TBC Bank. Аналитики отметили, что фишинговые приложения практически неотличимы от настоящих банковских приложений. Эти атаки осуществлялись через автоматические голосовые звонки, SMS-сообщения и вредоносную рекламу на социальных сетях.
На первом этапе фишинговые страницы имитируют официальные страницы магазинов приложений, таких как Google Play и Apple Store, а затем предлагают пользователю установить новую версию банковского приложения. При нажатии на кнопку установки или обновления, вредоносное приложение устанавливается без предупреждения браузера о неизвестных приложениях. Это происходит благодаря технологии WebAPK в Chrome.
Для пользователей iOS процесс установки немного отличается, и им показывается анимированное всплывающее окно, которое объясняет, как добавить фишинговое приложение на домашний экран. Таким образом, фишинговые кампании эффективно обходят стандартные меры безопасности и могут оставаться незамеченными.
Аналитики обнаружили, что этот вид фишинговых атак распространяется не только в Чехии, но и в других странах, и полагают, что за кампаниями стоят разные злоумышленники. Они сообщили обнаруженные фишинговые сайты банкам, чтобы защитить их клиентов.
Indicators of Compromise
IPv4
- 172.67.182.151
- 185.181.165.124
- 185.68.16.56
- 188.114.96.9
- 46.175.145.67
Domains
- blackrockapp.eu
- csas.georgecz.online
- cyrptomaker.info
- hide-me.online
- play-protect.pro
SHA1
- 66f97405a1538a74cee4209e59a1e22192bc6c08
- d3d5ae6b8ae9c7c1f8690452760745e18640150d
