חשיפה - הונאה פיננסית באמצעות שיטת פישינג חדשה למשתמשי Android ו-iOS

ESET

מחלקת המחקר של ESET חושפת קמפיין פישינג חריג המכוון למשתמשים במכשירים ניידים, וניתח מקרה ספציפי שזוהה וכוון ללקוחותיו של בנק צ׳כי. הטכניקה ראויה להתייחסות מכיוון שהיא גורמת להתקנה של אפליקציית פישינג מתוך אתר חיצוני מבלי שהמשתמש נדרש לאשר את ביצוע הפעולה הזו. במכשירי Android, פעולה כזו יכולה להוביל להתקנה שקטה של קובץ APK מיוחד, שאף נראה כאילו הוא הותקן מחנות Google Play. האיום כוון גם למשתמשים ב-iPhone (iOS).

אתרי הפישינג שכוונו למשתמשי iOS ביקשו מהקורבנות להתקין ״אפליקציית אינטרנט מתקדמת״ (Progressive Web App - PWA) במסך הבית שלהם, ובמכשירי Android האפליקציה הותקנה לאחר לחיצה על אישור מתוך הודעה קופצת מותאמת-אישית שהופיעה בדפדפן. בשלב הזה כמעט ולא ניתן להבחין בין האפליקציות האלה ובין אפליקציות הבנקאות שהן מנסות לחקות, בשתי מערכות ההפעלה. אפליקציות אינטרנט מתקדמות הן למעשה אתרי אינטרנט שמוטמעים במה שנראה כמו אפליקציה עצמאית. הן תומכות בפלטפורמות מרובות, מה שמסביר כיצד קמפיין הפישינג מצליח לפגוע גם במשתמשי iOS וגם במשתמשי Android.

״בנוגע למשתמשי iPhone, פעולה כזאת עשויה לנפץ את אשליית ה-״גן הסגור״ ואת הקשר שלה לאבטחה של מכשירים כאלה״, אומר יקוב אוסמני, חוקר ESET שחקר את האיום הזה.

מומחי ESET זיהו סדרה של קמפייני פישינג שמכוונים למשתמשים במכשירים ניידים, שהשתמשו בשלושה מנגנונים שונים להפצת כתובות URL: שיחות קוליות אוטומטיות, הודעות SMS ופרסום זדוני ברשתות חברתיות.

שיחות הטלפון התבצעו באמצעות שירות שיחות אוטומטי שהודיע למשתמש על כך שאפליקציית הבנקאות שלו אינה עדכנית, ומבקש מהלקוח ללחוץ על אחת מהספרות כדי להמשיך. לאחר לחיצה על המקש הנכון, כתובת URL שמובילה לקמפיין הפישינג נשלחת בהודעת SMS. המנגנון להפצת הודעות SMS ללא שיחה קודמת שלח הודעות למספרי טלפון אקראיים ללא הבחנה. ההודעה שנשלחה כללה קישור שהוביל לקמפיין הפישינג וטקסט שגרם לקורבנות ללחוץ על הקישור באמצעות טכניקות הנדסה חברתית. הקמפיין הזדוני הופץ גם דרך פרסומות רשומת בפלטפורמות של Meta, כמו פייסבוק ואינסטגרם. הפרסומות האלה כללו גם כפתור קריאה לפעולה, כמו מבצע לזמן מוגבל למשתמשים ש-״יורידו את העדכון מהקישור הבא״.

לאחר פתיחת כתובת ה-URL שנשלחה בשלב הראשון, לקורבנות המשתמשים במכשירי Android יוצג אחד מבין שני קמפיינים נפרדים – דף פישינג איכותי במיוחד שמתחזה לדף הורדת האפליקציה האמיתית של הבנק בחנות Google Play הרשמית, או אתר שמחקה את האפליקציה עצמה. בשלב הזה, הקורבנות מתבקשים להתקין ״גרסה חדשה״ של אפליקציית הבנק.

קמפיין הפישינג הזה והשיטות בהן הוא השתמש מתאפשר רק באמצעות טכנולוגיית ״אפליקציות אינטרנט מתקדמות״ - Progressive Web Apps/PWA. אפליקציות אינטרנט מתקדמות הן אפליקציות שנבנות באמצעות טכנולוגיות מסורתיות לבניית אפליקציות מבוססות-דפדפן, שיכולות לפעול על פלטפורמות מרובות ומכשירים מגוונים. אפליקציות WebAPK הן גרסה משודרגת של הטכנולוגיה – דפדפן כרום יוצר אפליקציית Android טבעית, או קובץ APK, מתוך אפליקציית אינטרנט מתקדמת. אפליקציות WebAPK נראות בדיוק כמו אפליקציות טבעיות. בנוסף, התקנת אפליקציית WebAPK לא יוצרת התראה על ״התקנת אפליקציה ממקור לא-בטוח״. האפליקציה תותקן גם אם התקנת אפליקציות ממקורות חיצוניים חסומה במכשיר.

אחת מהקבוצות השתמשה בבוט טלגרם כדי לתעד את כל המידע שהוזן בצ׳ט קבוצתי של טלגרם באמצעות ממשק ה-API של טלגרם, ואילו קבוצה אחרת השתמשה בשרת שליטה ובקרה מסורתי שכלל ממשק ניהול. ״מכיוון שכל אחד מהקמפיינים השתמש בתשתיות שליטה ובקרה שונות, קבענו ששתי קבוצות פשיעה נפרדות ניהלו את קמפייני הפישינג דרך אפליקציות PWA/WebAPK שכוונו לבנקים״, מסכמים ב-ESET. מרבית המקרים הידועים התרחשו בצ׳כיה, ורק שתי אפליקציות פישינג זוהו מחוץ למדינה (בהונגריה ובגיאורגיה).

כל המידע הרגיש שאותר ע״י גוף המחקר של ESET כחלק מחקירת הנושא הועבר לבנקים הרלוונטיים לעיבוד. בנוסף, ESET סייעה בהשבתה של מספר גדול של דומיינים ושרתי שליטה ובקרה ששימשו לקמפיין הפישינג.

מידע טכני נוסף על איום הפישינג הזה, ניתן לקרוא בבלוג החברה

אופן פעולת קמפיין הפישינג באמצעות PWA