• Des techniques de phishing standard, combinées à une nouvelle méthode de phishing, ciblent les utilisateurs d'Android et d'iPhone (iOS) via des PWA, et aussi sur Android via des WebAPK. Une découverte d’ESET Research.
• Les installations d'applis PWA/WebAPK (appli web progressive) n'incluent pas d'avertissements à l'utilisateur concernant l'installation d'une appli tierce.
• Sur Android, ces WebAPK de phishing semblent même avoir été installés à partir du Google Play Store.
• La plupart des applis observées ciblaient les clients de banques tchèques. ESET a aussi repéré des applis ciblant des banques en Hongrie et en Géorgie.
• Sur base des serveurs C&C utilisés et de l'infrastructure back-end, ESET conclut que les campagnes émanaient gérées par deux acteurs différents.
• ESET a informé les banques des victimes pour les protéger et a aidé au démantèlement de plusieurs domaines de phishing et de serveurs C&C.
BRATISLAVA, PRAGUE, le 20 août 2024 — ESET Research a découvert un type particulier de campagne de phishing, ciblant des utilisateurs mobiles et a analysé un cas observé ‘in the wild’ qui visait les clients d’une banque tchèque de premier plan. Cette technique est remarquable car elle installe une appli de phishing depuis un site Web tiers sans que l'utilisateur ait à autoriser l'installation de l'appli. Sur Android, cela peut entraîner l'installation silencieuse d'un type spécial d'APK, qui semble être installé à partir du Google Play Store. La menace visait également les utilisateurs d'iPhone (iOS).
Les sites Web de phishing ciblant l’iOS demandent aux victimes d’ajouter une appli web progressive (PWA) à leur écran d’accueil, tandis que sur Android, la PWA est installée après confirmation des fenêtres contextuelles personnalisées dans le navigateur. À ce stade, sur les deux systèmes d’exploitation, ces applis de phishing sont quasi impossibles à distinguer des applis bancaires réelles qu’elles imitent. Les PWA sont essentiellement des sites Web regroupés dans ce qui semble être une appli autonome, impression renforcée par l’utilisation d’invites système natives. Les PWA, tout comme les sites web, sont multi plates-formes, ce qui explique comment ces campagnes de phishing PWA peuvent cibler à la fois les utilisateurs iOS et Android. Cette nouvelle technique a été observée en Tchéquie par les analystes d’ESET travaillant sur le service ESET Brand Intelligence, qui font le monitoring de menaces ciblant la marque d’un client
«Pour les utilisateurs d'un iPhone, ce genre d’action pourrait balayer toutes les hypothèses de ‘domaine clos’ en matière de sécurité, » explique Jakub Osmani, le chercheur d’ESET qui a analysé la menace.
ESET a découvert une série de campagnes de phishing ciblant des utilisateurs mobiles et utilisant trois mécanismes de diffusion d’URL. Les mécanismes comprennent des appels vocaux automatisés, des messages SMS et des publicités malveillantes sur les réseaux sociaux. La diffusion d’appels vocaux se fait par un appel automatisé qui avertit l’utilisateur qu’une appli bancaire est obsolète et qui lui demande de sélectionner une option sur le clavier numérique. Lorsqu’on a appuyé sur le bon bouton, une URL de phishing est envoyée par SMS, comme cela était annoncé dans un tweet. La diffusion initiale par SMS était faite, sans distinction, par l’envoi de messages à des numéros de téléphone tchèques. Le message envoyé comprenait un lien de phishing et un texte incitant les victimes à visiter le lien. La campagne a été diffusée par des publicités enregistrées sur des plates-formes de Meta telles qu’Instagram et Facebook. Ces publicités incitaient à l’action avec une offre limitée pour les utilisateurs qui « téléchargent la mise à jour ci-dessous ».
Après l’ouverture de l'URL fournie lors de la première étape, les victimes Android se voient proposer deux campagnes distinctes : soit une page de phishing de haute qualité imitant la page officielle dans la boutique Google Play de l'appli bancaire visée, soit un site Web imitant cette appli. Ensuite les victimes sont invitées à installer une « nouvelle version » de l'appli bancaire.
La campagne et la méthode de phishing ne sont possibles qu’avec la technologie des applis web progressives. Les PWA sont des applis créées à l’aide de technologies d’applis Web traditionnelles pouvant fonctionner sur plusieurs plates-formes et appareils. Les WebAPK doivent être considérés comme une version améliorée des applis web progressives, car le navigateur Chrome génère une appli Android native à partir d’une PWA, autrement dit, un APK. Ces WebAPK ressemblent à des applis natives classiques. Par ailleurs, l’installation d’un WebAPK ne génère aucun avertissement « installation à partir d’une source non fiable ». L’appli sera donc installée même si l’installation à partir de sources tierces n’est pas autorisée.
Un groupe a utilisé un bot Telegram pour enregistrer toutes les informations saisies dans un groupe de discussion Telegram via l'API officielle, tandis qu'un autre a utilisé un serveur de commande et de contrôle (C&C) traditionnel avec un panneau de gestion. «En nous basant sur le fait que les campagnes utilisaient deux infrastructures C&C distinctes, nous avons déterminé que deux groupes distincts menaient les campagnes de phishing PWA/WebAPK contre plusieurs banques importantes », conclut Osmani. La majorité des cas connus ont eu lieu en Tchéquie, avec seulement deux applis de phishing apparues en dehors du pays (plus précisément en Hongrie et en Géorgie).
Toutes ces informations sensibles, trouvées par les chercheurs d'ESET, ont été rapidement envoyées aux banques concernées afin d’être traitées. ESET a également contribué au démantèlement de plusieurs domaines de phishing et serveurs C&C.
Pour plus d’informations techniques sur cette nouvelle menace de phishing, consultez le blog “Be careful what you pwish for – Phishing in PWA applications” sur
www.welivesecurity.com. Pour les dernières nouvelles sur la recherche ESET, suivez aussi ESET Research on Twitter (today known as X)
ESET® offre une sécurité de pointe pour prévenir les attaques avant qu'elles ne se produisent. Avec la puissance de l'IA et l'expertise humaine, ESET conserve une longueur d'avance sur les menaces connues et émergentes, en sécurisant les mobiles, ses solutions et services basés sur l’IA et axés cloud sont efficaces et faciles à utiliser. La technologie ESET comprend une détection et une réponse robustes, un cryptage ultra-sécurisé et une authentification multi facteur. Avec une défense en temps réel 24/7 et un solide support local, ESET assure la sécurité des utilisateurs et des entreprises sans interruption. Un paysage numérique en constante évolution exige une approche progressive de la sécurité : ESET dispose d’une recherche de classe mondiale et d’une puissante intelligence des menaces, soutenues par des centres de R&D ainsi qu’un réseau mondial de partenaires. Plus d'infos :
www.eset.com ou LinkedIn, Facebook, X et
https://www.eset.com/be-fr/.