Twórcy oszustw phishingowych znaleźli sposób na ominięcie mechanizmów działających w aplikacjach zaprojektowanych w celu kradzieży danych osobowych. Środki te nie działają w przypadku progresywnych aplikacji internetowych (PWA), których uprawnienia są niższe, a możliwości skromniejsze.
Na iOS możesz instalować tylko aplikacje z App Store, a na Androidzie domyślnie możesz instalować tylko aplikacje z Google Play – jeśli spróbujesz skorzystać z innego źródła, system wyświetli ostrzeżenie. Odkryte w ciągu ostatnich dziewięciu miesięcy kampanie phishingowe mają na celu nakłonienie ofiar do zainstalowania złośliwej aplikacji podszywającej się pod oficjalny klient bankowy. Po zainstalowaniu kradnie dane konta i wysyła je atakującemu w czasie rzeczywistym za pośrednictwem Telegramu – ostrzegają eksperci ESET.
Podczas ataków na użytkowników iOS wykorzystuje się tradycyjne PWA – stworzona przez atakujących witryna internetowa otwierana jest nie przez przeglądarkę, a za pomocą imitacji pełnoprawnej aplikacji; Użytkownicy Androida są w niektórych przypadkach oszukiwani i instalują jego specjalną podwersję – WebAPK. Atak rozpoczyna się, gdy potencjalna ofiara otrzyma wiadomość tekstową, połączenie automatyczne lub kliknie złośliwy link reklamowy na Facebooku✴ lub Instagramie✴. Po otwarciu linku zostają przeniesieni na stronę przypominającą App Store lub Google Play.
W przypadku iOS instalacja PWA różni się nieco od instalacji standardowej aplikacji – użytkownikowi wyświetla się wyskakujące okienko z instrukcją instalacji, symulujące komunikat systemowy z platformy. Jeżeli użytkownik Androida zainstalował WebAPK poprzez Google Play, to jego czujność uśpi fakt, że z opisu wynika, że aplikacja nie posiada uprawnień systemowych. W każdym razie po instalacji użytkownik jest proszony o podanie swoich danych uwierzytelniających w celu uzyskania dostępu do banku internetowego, a wszystkie wprowadzone informacje są wysyłane na serwer kontrolowany przez oszustów.
Nowy system jest obecnie stosowany głównie w Czechach, ale incydenty odnotowano już na Węgrzech i w Gruzji. Eksperci ds. cyberbezpieczeństwa zakładają, że liczba takich incydentów będzie rosnąć, a ich zasięg geograficzny będzie się rozszerzał.