Les acteurs de la menace ont commencé à utiliser des applications Web progressives pour usurper l’identité d’applications bancaires et voler les informations d’identification des utilisateurs Android et iOS.
Les applications Web progressives (PWA) sont des applications multiplateformes qui peuvent être installées directement depuis le navigateur et offrent une expérience de type natif grâce à des fonctionnalités telles que les notifications push, l’accès au matériel de l’appareil et la synchronisation des données en arrière-plan.
L’utilisation de ce type d’applications dans les campagnes de phishing permet d’échapper à la détection, de contourner les restrictions d’installation d’applications et d’accéder à des autorisations risquées sur l’appareil sans avoir à envoyer à l’utilisateur une invite standard qui pourrait éveiller des soupçons.
La technique a été observée pour la première fois dans la nature en juillet 2023 en Pologne, tandis qu’une campagne ultérieure lancée en novembre de la même année ciblait les utilisateurs tchèques.
Entreprise de cybersécurité ESET rapports qu’elle suit actuellement deux campagnes distinctes s’appuyant sur cette technique, l’une ciblant l’institution financière hongroise OTP Bank et l’autre ciblant la TBC Bank en Géorgie.
Cependant, les deux campagnes semblent être menées par des acteurs malveillants différents. L’un utilise une infrastructure de commandement et de contrôle (C2) distincte pour recevoir les identifiants volés, tandis que l’autre groupe enregistre les données volées via Telegram.
Chaîne d’infection
ESET affirme que les campagnes s’appuient sur un large éventail de méthodes pour atteindre leur public cible, notamment les appels automatisés, les messages SMS (smishing) et le malvertising bien conçu sur les campagnes publicitaires Facebook.
Dans les deux premiers cas, les cybercriminels trompent l’utilisateur avec un faux message indiquant que son application bancaire est obsolète et qu’il faut installer la dernière version pour des raisons de sécurité, en fournissant une URL pour télécharger la PWA de phishing.
Flux d’infection des campagnes PWA
Source : ESET
Dans le cas de publicités malveillantes sur les réseaux sociaux, les acteurs malveillants utilisent la mascotte officielle de la banque usurpée pour induire un sentiment de légitimité et promouvoir des offres à durée limitée comme des récompenses monétaires pour l’installation d’une mise à jour d’application supposée critique.
L’une des publicités malveillantes utilisées dans la campagne de phishing
Source : ESET
Selon l’appareil (vérifié via l’en-tête HTTP User-Agent), cliquer sur l’annonce amène la victime vers une fausse page Google Play ou App Store.
Fausse invite d’installation de Google Play (à gauche) et progression (à droite)
Source : ESET
En cliquant sur le bouton « Installer », l’utilisateur est invité à installer une PWA malveillante se faisant passer pour une application bancaire. Dans certains cas, sur Android, l’application malveillante est installée sous la forme d’un WebAPK, un APK natif généré par le navigateur Chrome.
L’application de phishing utilise les identifiants de l’application bancaire officielle (par exemple, un logo sur un écran de connexion d’apparence légitime) et déclare même Google Play Store comme source logicielle de l’application.
Le WebAPK malveillant (à gauche) et la page de connexion de phishing (à droite)
Source : ESET
L’attrait de l’utilisation des PWA sur mobile
Les PWA sont conçues pour fonctionner sur plusieurs plates-formes, de sorte que les attaquants peuvent cibler un public plus large via une seule campagne de phishing et une seule charge utile.
Le principal avantage réside cependant dans le contournement des restrictions d’installation de Google et d’Apple pour les applications en dehors des magasins d’applications officiels, ainsi que des messages d’avertissement « installer à partir de sources inconnues » qui pourraient alerter les victimes des risques potentiels.
Les PWA peuvent imiter de près l’apparence des applications natives, en particulier dans le cas des WebAPK, où le logo du navigateur sur l’icône et l’interface du navigateur dans l’application sont masqués, ce qui rend la distinction des applications légitimes presque impossible.
PWA (à gauche) et application légitime (à droite). Les WebAPK sont impossibles à distinguer car ils perdent le logo Chrome de l’icône.
Source : ESET
Ces applications Web peuvent accéder à divers systèmes d’appareils via les API du navigateur, tels que la géolocalisation, l’appareil photo et le microphone, sans les demander depuis l’écran d’autorisations du système d’exploitation mobile.
En fin de compte, les PWA peuvent être mises à jour ou modifiées par l’attaquant sans interaction de l’utilisateur, ce qui permet d’ajuster dynamiquement la campagne de phishing pour un plus grand succès.
L’utilisation abusive des PWA à des fins de phishing est une tendance émergente dangereuse qui pourrait prendre de nouvelles proportions à mesure que de plus en plus de cybercriminels se rendent compte de son potentiel et de ses avantages.
Il y a quelques mois, nous avons fait état de nouveaux kits de phishing ciblant les comptes Windows utilisant des PWA. Ces kits ont été créés par le chercheur en sécurité mr.d0x dans le but précis de démontrer comment ces applications pouvaient être utilisées pour voler des identifiants en créant des formulaires de connexion d’entreprise convaincants.
BleepingComputer a contacté Google et Apple pour leur demander s’ils prévoyaient de mettre en œuvre des défenses contre les PWA/WebAPK, et nous mettrons à jour cet article avec leurs réponses dès que nous aurons reçu une réponse.
2024-08-21 23:57:58
1724278449
#Des #pirates #informatiques #volent #les #identifiants #bancaires #des #utilisateurs #iOS #Android #des #applications #PWA
