Hackers steal banking creds from iOS, Android users via PWA apps

脅威者はプログレッシブ・ウェブ・アプリケーションを使用して銀行アプリになりすまし、AndroidやiOSユーザーから認証情報を盗み始めている。

プログレッシブ・ウェブ・アプリケーション(PWA)は、ブラウザから直接インストールできるクロスプラットフォームのアプリケーションで、プッシュ通知、デバイスのハードウェアへのアクセス、バックグラウンドでのデータ同期などの機能を通じて、ネイティブのようなエクスペリエンスを提供します。

このタイプのアプリをフィッシング・キャンペーンに使用することで、検知を回避し、アプリのインストール制限を回避し、ユーザーに疑念を抱かせるような標準的なプロンプトを表示することなく、デバイス上の危険なパーミッションにアクセスすることができる。

この手口は2023年7月にポーランドで初めて確認され、同年11月にはチェコのユーザーを標的にしたキャンペーンが行われた。

サイバーセキュリティ企業のESETによると、現在この手法に依拠した2つの異なるキャンペーンを追跡しており、1つはハンガリーの金融機関OTP Bankを標的としたもの、もう1つはグルジアのTBC Bankを標的としたものだという。

しかし、この2つのキャンペーンは異なる脅威行為者によって運営されているようだ。一方は、盗んだ認証情報を受け取るために別のコマンド・アンド・コントロール(C2)インフラを使用し、もう一方のグループはTelegram経由で盗んだデータをログに記録しています。

感染チェーン

ESETによると、これらのキャンペーンは、自動化された電話、SMSメッセージ(smishing)、Facebook広告キャンペーン上の巧妙に作成された不正広告など、ターゲットオーディエンスに到達するための幅広い手法を利用しています。

最初の2つのケースでは、サイバー犯罪者は、バンキングアプリが古く、セキュリティ上の理由から最新バージョンをインストールする必要があるという偽のメッセージでユーザーを騙し、フィッシングPWAをダウンロードするためのURLを提供します。

PWA campaigns infection flow
PWAキャンペーンの感染フロー
ESET

ソーシャルメディア上の悪質な広告の場合、脅威行為者はなりすました銀行の公式マスコットを使って正当性を誘導し、重要であると思われるアプリのアップデートをインストールすると金銭的な報酬が得られるといった期間限定のオファーを宣伝します。

One of the malicious ads used in the phishing campaign
フィッシング・キャンペーンで使用された悪質な広告の1つ
Source:ESET

デバイス(User-Agent HTTPヘッダーで確認)によっては、広告をクリックすると、偽のGoogle PlayまたはApp Storeのページに誘導されます。

Fake Google Play portal
偽の Google Play インストールのプロンプト(左)と進行状況(右)
出典:ESET:ESET

インストール」ボタンをクリックすると、バンキングアプリを装った悪意のあるPWAをインストールするよう促されます。Androidでは、WebAPK(Chromeブラウザで生成されるネイティブAPK)の形で悪意のあるアプリがインストールされるケースもあります。

このフィッシング・アプリは、公式のバンキング・アプリの識別子(正規のログイン画面のロゴなど)を使用し、Google Playストアをアプリのソフトウェア・ソースとして宣言しています。

The malicious WebAPK on the victim's homescreen and the phishing login page
悪意のあるWebAPK(左)とフィッシング・ログイン・ページ(右
Source:ESET

モバイルでPWAを利用する魅力

PWAは複数のプラットフォームで動作するように設計されているため、攻撃者は単一のフィッシング・キャンペーンとペイロードを通じて、より多くのユーザーをターゲットにすることができます。

しかし、主な利点は、GoogleやAppleの公式アプリストア以外でのアプリのインストール制限や、被害者に潜在的なリスクを警告する可能性のある「提供元不明のアプリからのインストール」警告プロンプトを回避することにあります。

PWAはネイティブアプリのルック&フィールを忠実に模倣することができ、特にWebAPKの場合、アイコンのブラウザロゴやアプリ内のブラウザインターフェイスが隠されているため、正規アプリとの区別はほぼ不可能だ。

PWA (left) and legitimate app (right). WebAPKs are indistinguishable
PWA(左)と正規アプリ(右)。WebAPKはアイコンからChromeのロゴが消えているため見分けがつかない。
出典:ESET:ESET

これらのウェブアプリは、モバイルOSの権限画面から要求することなく、ジオロケーション、カメラ、マイクなどのブラウザAPIを通じて様々なデバイスシステムにアクセスすることができる。

最終的に、PWAはユーザーの操作なしに攻撃者によって更新または変更される可能性があり、フィッシングキャンペーンをより成功させるために動的に調整することができます。

フィッシングのためのPWAの悪用は、より多くのサイバー犯罪者がその可能性と利点を認識するにつれて、新たな割合を増加させる可能性のある危険な新興トレンドです。

数ヶ月前、私たちはPWAを使用したWindowsアカウントをターゲットにした新しいフィッシングキットについて報告しました。このキットは、セキュリティ研究者のmr.d0xによって作成されたもので、企業のログインフォームを説得力のあるものにすることで、これらのアプリがどのように認証情報を盗むために使用できるかを実証するためのものだった。

GoogleとAppleの両社に連絡を取り、PWA/WebAPKに対する防御策を実装する予定があるかどうかを尋ねた。