استهداف مستخدمي الهاتف المحمول التشيكيين في مخطط جديد لسرقة بيانات الاعتماد المصرفية
أصبح مستخدمو الهاتف المحمول في جمهورية التشيك هدفًا لحملة تصيد احتيالي جديدة تستفيد من تطبيق الويب التقدمي (PWA) في محاولة لسرقة بيانات اعتماد حساباتهم المصرفية.
واستهدفت الهجمات بنك Československá obchodníbanka (CSOB)، ومقره التشيك، بالإضافة إلى بنك OTP المجري وبنك TBC الجورجي، وفقًا لشركة الأمن السيبراني السلوفاكية ESET.
وقال الباحث الأمني جاكوب عثماني: “إن مواقع التصيد الاحتيالي التي تستهدف نظام التشغيل iOS توجه الضحايا إلى إضافة تطبيق ويب تقدمي (PWA) إلى شاشاتهم الرئيسية، بينما يتم تثبيت تطبيق الويب التقدمي (PWA) على نظام Android بعد تأكيد النوافذ المنبثقة المخصصة في المتصفح”. قال.
“في هذه المرحلة، على كلا نظامي التشغيل، لا يمكن تمييز تطبيقات التصيد الاحتيالي هذه إلى حد كبير عن التطبيقات المصرفية الحقيقية التي تحاكيها.”
ما هو ملحوظ في هذا التكتيك هو أنه يتم خداع المستخدمين لتثبيت PWA، أو حتى WebAPKs في بعض الحالات على Android، من موقع تابع لجهة خارجية دون الحاجة إلى السماح بالتحميل الجانبي على وجه التحديد.
ويكشف تحليل خوادم القيادة والتحكم (C2) المستخدمة والبنية التحتية الخلفية أن هناك جهة فاعلة مختلفة للتهديد تقف وراء هذه الحملات.
يتم توزيع مواقع الويب هذه عبر المكالمات الصوتية الآلية والرسائل النصية القصيرة والإعلانات الضارة على وسائل التواصل الاجتماعي عبر Facebook وInstagram. تحذر المكالمات الصوتية المستخدمين من وجود تطبيق مصرفي قديم وتطلب منهم تحديد خيار رقمي، وبعد ذلك يتم إرسال عنوان URL للتصيد الاحتيالي.
يتم عرض للمستخدمين الذين ينقرون على الرابط في نهاية المطاف صفحة مشابهة تحاكي قائمة متجر Google Play للتطبيق المصرفي المستهدف، أو موقع مقلد للتطبيق، مما يؤدي في النهاية إلى “تثبيت” تطبيق PWA أو WebAPK تحت ستار من تحديث التطبيق.
وأوضح عثماني: “تتجاوز خطوة التثبيت الحاسمة هذه تحذيرات المتصفح التقليدية بشأن تثبيت تطبيقات غير معروفة: وهذا هو السلوك الافتراضي لتقنية WebAPK الخاصة بمتصفح Chrome، والتي يسيء المهاجمون استخدامها”. “علاوة على ذلك، فإن تثبيت WebAPK لا ينتج عنه أي من تحذيرات” التثبيت من مصدر غير موثوق به “.
بالنسبة لأولئك الذين يستخدمون أجهزة Apple iOS، يتم توفير تعليمات لإضافة تطبيق PWA المزيف إلى الشاشة الرئيسية. الهدف النهائي للحملة هو الحصول على بيانات الاعتماد المصرفية التي تم إدخالها في التطبيق ونقلها إلى خادم C2 يتحكم فيه المهاجم أو إلى دردشة جماعية على Telegram.
قالت شركة ESET إنها سجلت أول حالة تصيد عبر PWA في أوائل نوفمبر 2023، مع اكتشاف موجات لاحقة في مارس ومايو 2024.
ويأتي هذا الكشف في الوقت الذي اكتشف فيه باحثو الأمن السيبراني متغيرًا جديدًا من حصان طروادة Gigabud Android الذي ينتشر عبر مواقع التصيد الاحتيالي التي تحاكي متجر Google Play أو المواقع التي تنتحل صفة بنوك أو هيئات حكومية مختلفة.
وقالت شركة سيمانتيك المملوكة لشركة برودكوم: “تتمتع البرمجيات الخبيثة بقدرات مختلفة مثل جمع البيانات حول الجهاز المصاب، واستخلاص بيانات الاعتماد المصرفية، وجمع تسجيلات الشاشة، وما إلى ذلك”. قال.
كما أنه يتبع Silent Push’s اكتشاف من 24 لوحة تحكم مختلفة لمجموعة متنوعة من أحصنة طروادة المصرفية التي تعمل بنظام Android، مثل ERMAC، وBlackRock، وHook، وLoot، وPegasus (يجب عدم الخلط بينه وبين برامج التجسس التابعة لشركة NSO Group التي تحمل الاسم نفسه) والتي يتم تشغيلها بواسطة ممثل تهديد يُدعى DukeEugene.
إرسال التعليق