- Une nouvelle campagne d’hameçonnage combine des méthodes traditionnelles et l'utilisation de PWA (Progressive Web Apps) qui cible Android et iOS.
- Cette campagne visait principalement les clients de banques tchèques, avec quelques cas observés en Hongrie et en Géorgie.
- La particularité de cette méthode réside dans l'absence d'avertissements lors de l'installation des applications PWA/WebAPK malveillantes, contournant ainsi les mécanismes de sécurité standard des appareils mobiles.
- En réponse à cette menace, ESET a rapidement alerté les banques concernées et a contribué à la suppression de nombreux domaines d’hameçonnage et serveurs C&C impliqués.
ESET Research a identifié une nouvelle forme d’hameçonnage, ciblant les clients d'une banque tchèque. Cette nouvelle méthode se distingue par sa capacité à installer une application malveillante via un site tiers, sans nécessiter l'autorisation explicite de l'utilisateur.
Sur Android, cela peut conduire à l'installation discrète d'un APK spécifique, donnant l'illusion d'une installation légitime depuis le Google Play Store. L’installation de l’application web progressive PWA se fait après validation de fenêtres pop-up personnalisées dans le navigateur.
Sur IOS les utilisateurs sont incités à ajouter une application web progressive (PWA) à leur écran d'accueil.
Dans les deux cas, les applications malveillantes sont conçues pour être pratiquement indiscernables des véritables applications bancaires. Les PWA, étant des sites web présentés comme des applications autonomes et utilisant des invites système natives, peuvent cibler efficacement les utilisateurs iOS et Android. Cette nouvelle méthode a été détectée en République tchèque par le service ESET Threat Intelligence.
Jakub Osmani, chercheur chez ESET ayant analysé cette menace, souligne que pour les utilisateurs d'iPhone, cette technique pourrait remettre en question la perception de sécurité associée au modèle fermé d'iOS.
Les analystes d'ESET ont découvert des campagnes d’hameçonnage ciblant les utilisateurs mobiles via trois méthodes de distribution d'URL : appels vocaux automatisés, SMS et publicités malveillantes sur les réseaux sociaux :
- Les appels automatisés alertent l'utilisateur d'une application bancaire obsolète et demandent une action sur le clavier téléphonique, déclenchant l'envoi d'une URL d’hameçonnage par SMS.
- Les SMS sont envoyés massivement à des numéros tchèques avec un lien d'hameçonnage.
- Des publicités trompeuses sur Instagram et Facebook incitent au téléchargement d'une prétendue mise à jour.
Pour les utilisateurs Android, l'URL fournie mène à deux scénarios possibles : une page d’hameçonnage imitant le Google Play Store pour l'application bancaire ciblée, ou un site Web copié de cette application. Dans les deux cas, les victimes sont incitées à installer une soi-disant "nouvelle version" de l'application bancaire.
Deux groupes distincts ont été identifiés derrière ces campagnes, utilisant des méthodes différentes pour collecter les informations : l'un via un bot Telegram enregistrant les données dans un chat de groupe, l'autre via un serveur de commande et de contrôle (C&C) traditionnel avec un panneau d'administration. La majorité des cas ont été observés en République tchèque, avec seulement deux occurrences en Hongrie et en Géorgie.
ESET a promptement communiqué toutes les informations sensibles découvertes aux banques concernées, et a également contribué à la suppression de plusieurs domaines d’hameçonnage et serveurs C&C impliqués dans ces attaques.
Pour plus d'informations techniques sur cette nouvelle menace de phishing, consultez l'article de blog « Be careful what you pwish for – Phishing in PWA applications » sur WeLiveSecurity.com.
Flux d’hameçonnage PWA.
Contact Presse :
Jolya COHOUNDO : +33 07 76 99 70 29 - jolya.c@eset-nod32.fr
À propos d'ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.