Kampanye phishing yang tidak biasa yang menargetkan pengguna ponsel telah diidentifikasi oleh Pusat Penelitian Keamanan Siber ESET dan telah menganalisis insiden phishing yang menargetkan pelanggan dari bank terkenal Ceko.
Kampanye dan metode phishing hanya dapat dilakukan dengan teknologi PWA
Cara ini memerlukan kehati-hatian karena menginstal aplikasi phishing dari situs pihak ketiga tanpa memberikan izin kepada pengguna untuk menginstal aplikasi pihak ketiga.
Di Android, hal ini menyebabkan instalasi “diam-diam” dari file APK khusus, yang sebenarnya ditawarkan sebagai diinstal dari Google Play. Kampanye ini juga menyasar pengguna iPhone (iOS).
Situs web phishing yang menargetkan perangkat lunak iOS mengundang korban untuk menambahkannya ke layar beranda (PWA), sedangkan di Android, PWA dipasang setelah mengonfirmasi pop-up browser.
Saat ini, pada kedua sistem operasi, aplikasi phishing sangat mirip dengan aplikasi perbankan sebenarnya yang mereka tiru.
PWA pada dasarnya adalah halaman web yang terlihat seperti aplikasi mandiri, yang ditingkatkan dengan menggunakan perintah komputer.
PWA bersifat lintas platform, yang menjelaskan bagaimana kampanye ini menargetkan pengguna iOS dan Android. Teknik baru ini ditemukan oleh peneliti ESET yang bekerja untuk ESET Brand Intelligence Service di Republik Ceko, yang memantau ancaman terhadap merek pelanggan.
Beginilah cara kerjanya
Kampanye phishing yang ditemukan oleh peneliti ESET menggunakan tiga metode berbeda untuk mendistribusikan URL. Metode ini mencakup panggilan suara otomatis, pesan SMS, dan iklan berbahaya di media sosial.
Dalam satu kasus, distribusi URL dilakukan melalui panggilan otomatis yang mengingatkan pengguna akan aplikasi perbankan yang memerlukan pembaruan dan meminta mereka menekan tombol pada keyboard. Setelah menekan tombol kanan, URL phishing akan dikirim melalui SMS.
Penyebaran SMS dilakukan dengan mengirimkan pesan secara membabi buta ke nomor telepon di Republik Ceko. Pesan yang dikirim menyertakan URL phishing dan teks untuk mengelabui korban.
Kampanye jahat ini juga disebarkan melalui iklan di platform meta seperti Instagram dan Facebook. Promosi ini juga mencakup beberapa penawaran terbatas bagi pengguna yang “mengunduh pembaruan berikutnya”.
Setelah membuka URL yang diberikan pada langkah pertama, pengguna Android diarahkan ke halaman phishing yang meniru halaman resmi Google Play Store untuk aplikasi perbankan tertentu atau halaman web palsu untuk aplikasi tersebut. Dari sini, korban diminta untuk menginstal “versi terbaru” dari aplikasi perbankan.
Teknologi PWA
Kampanye dan metode phishing hanya dapat dilakukan dengan teknologi Progressive Web Apps (PWA). Singkatnya, ini adalah aplikasi yang dibuat menggunakan teknologi aplikasi web tradisional dan dijalankan di berbagai platform dan perangkat.
WebAPK dapat dianggap sebagai versi yang lebih baik dari Aplikasi Web Progresif (PWA), karena browser Chrome membuat aplikasi Android dari PWA: dengan kata lain, APK. WebAPK ini terlihat seperti aplikasi biasa. Selain itu, menginstal WebAPK tidak memicu peringatan “Instal dari sumber tidak tepercaya”. Aplikasi akan diinstal meskipun instalasi dari sumber pihak ketiga tidak diperbolehkan.
Satu tim menggunakan bot Telegram untuk menangkap semua informasi yang masuk dalam obrolan grup Telegram melalui API resmi aplikasi, sementara tim lainnya menggunakan server Command & Control (C&C) tradisional dengan tim manajemen tim. Sebagian besar kasus yang diketahui terjadi di Republik Ceko, sementara hanya dua aplikasi phishing yang muncul di luar negeri (khususnya di Hongaria dan Georgia).
Semua informasi sensitif yang diidentifikasi melalui penyelidikan ESET atas masalah tersebut segera diteruskan ke bank yang terkena dampak untuk diproses. ESET telah membantu menghapus banyak alamat phishing Internet dan server C&C.
Untuk informasi teknis lebih lanjut tentang ancaman phishing baru, lihat postingan blog «Phishing di Aplikasi PWA – Berhati-hatilah dengan apa yang Anda gunakan»di WeLiveSecurity.com.
Sumber: PL
