Eksperci ostrzegają przed niezwykle wyrafinowanym, a co za tym idzie groźnym atakiem na klientów PKO Banku Polskiego. Przestępcy wykorzystali pomijaną dotąd technikę.
WebAPK to technologia, która pozwala w pewnym sensie zainstalować na smartfonie stronę internetową jako aplikację. Korzysta z niej chociażby przeglądarka Google Chrome, gdy użytkownik dodaje daną witrynę do ekranu głównego. W tle automatycznie wygenerowany zostaje plik Android Package Kit, określany też skrótowcem APK, tak jakby instalowano klasyczną aplikację. Bo też w praktyce strona staje się aplikacją i tak widziana jest przez system.
Patrząc z punktu widzenia bezpieczeństwa, pojawia się tylko pewien mały, aczkolwiek piekielnie istotny mankament. Jak już zostało wspomniane, instalacja aplikacji webowej może odbyć się przez przeglądarkę, a co za tym idzie pomija Sklep Play i jego zabezpieczenia. To właśnie wykorzystali przestępcy czyhający na klientów PKO Banku Polskiego.
Typowo dla kampanii phishingowej, rozesłano wiadomość SMS z powiadomieniem o koniecznej aktualizacji IKO i linkiem, ale, co unikatowe, odnośnik ten nie kierował do zwyczajnej strony phishingowej. Zamiast tego wykorzystano WebAPK, co pozwoliło instalować szkodliwe narzędzie bez ostrzeżeń charakterystycznych dla aplikacji z niezaufanych źródeł. Użytkownik mógł mieć tym samym wrażenie, że faktycznie zrobił update i wszystko jest OK.
Uwaga! Ostrzegamy przed fałszywą stroną internetową podszywającą się pod #IKO @PKOBP
— RIFFSEC (@getriffsec) July 5, 2023
Adres fałszywej strony:
hxxps://ikopl[.]online
Nie dajcie się nabrać!
DW: @CSIRT_KNF#RSAlert #Alert #Phishing #SCAM #PKOBP #IKO pic.twitter.com/zJLncuY6in
Szkodliwa aplikacja witała klientów PKO BP znajomym panelem logowania. Niemniej, jak nietrudno się domyślić, był on fałszywy i przesyłał pozyskane dane do napastników. I tak, analogicznie działają fałszywe strony banków otwierane w przeglądarce, ale tutaj dodatkowo oszustom udało się wykreować poczucie bezpieczeństwa, jakie zapewnia aplikacja mobilna.
Specjaliści z RIFFSEC i CSIRT KNF unieszkodliwili atak. Pro forma podają przy okazji listę wykorzystanych przez przestępców domen. Ale niniejszy przypadek to przede wszystkim doskonałe studium przypadku, obrazujące jak ewoluują metody cyberzłodziei, których najwyraźniej nie zadowala już prymitywne kopiowanie panelu.
Źródło zdjęć: Anna Rymsza / Telepolis
Źródło tekstu: CSIRT KNF, RIFFSEC, oprac. własne
