PWA网络钓鱼，针对Android、iOS金融欺诈活动

在捷克共和国、匈牙利和格鲁吉亚的金融欺诈活动中，最近发现了一种复杂的移动网络钓鱼技术。

这种网络钓鱼方法利用渐进式Web应用程序PWA，提供类似本机应用程序的体验，主要在Android和iOS设备上出现。

01、 iOS和Android上的PWA网络钓鱼

这种新型的网络钓鱼技术之所以能够实施，是利用PWA的工作特性诱导用户下载并运行恶意软件，而无需用户明确允许第三方手机应用的安装。

在iOS上，网络钓鱼网站冒充知名应用程序的登录页面，并指示受害者将PWA添加到他们的主屏幕。

在登录页面建立之前，某个威胁通过修改PWA的清单文件，使得PWA能够独立运行，并且其行为与普通的移动应用相似。

PWA工作原理的简化图

来源：ESET

在Android设备上，当用户在浏览器中确认了自定义的弹出窗口后，PWA会被安装。这会导致用户静默地安装Web Android包工具包（WebAPK）。

WebAPK是一种特殊类型的APK，即标准的Android应用程序文件，可以被视为PWA的升级版本。这种升级是因为Chrome浏览器从PWA生成原生Android应用程序。

02、针对银行的金融欺诈活动

在2023年11月，ESET观察到针对几家捷克银行、匈牙利OTP银行和格鲁吉亚TBC银行的移动网络钓鱼活动，在这些活动中，攻击者使用了一种特定的技术，并且这种技术是与标准的网络钓鱼传递技术一起使用的。

这些网络钓鱼活动使用了三种不同的URL传递机制：

语音呼叫传送：自动呼叫警告用户过时的银行应用程序，并要求用户在数字键盘上选择一个选项。按下正确的按钮后，将通过短信发送网络钓鱼URL。

短信发送：带有网络钓鱼链接的短信被莫名其妙地发送到捷克的电话号码。

恶意广告投放：在Instagram和Facebook等Meta平台上发布号召性用语的广告，例如为下载更新用户提供优惠。

PWA 网络钓鱼流

来源：ESET

2024年3月，研究人员首次发现了控制网络钓鱼应用的C2服务器。服务器中的数据表明，3月之前可能并未运行。

根据C2服务器和后端基础设施的分析，研究人员得出结论，至少有两个不同的威胁行动者在操作这些网络钓鱼活动。

ESET目前已经通知了被这些网络钓鱼活动针对的银行。