关注公众号网络研究观获取更多内容。

ESET 研究人员发现了一种针对 Android 和 iPhone 用户的不常见网络钓鱼活动。

他们分析了一起针对捷克某知名银行客户的网络钓鱼案例。

这种技术值得注意，因为它会从第三方网站安装钓鱼应用程序，而无需用户允许安装第三方应用程序。在Android上，这可能会导致一种特殊 APK 的静默安装，甚至看起来像是从 Google Play 商店安装的。该威胁也针对 iOS 用户。

针对 iOS 的钓鱼网站会指示受害者在主屏幕上添加渐进式 Web 应用程序 (PWA)，而在 Android 上，PWA 是在浏览器中确认自定义弹出窗口后安装的。此时，这些钓鱼应用程序与它们在两个操作系统上模仿的真实银行应用程序基本没有区别。

PWA 本质上是捆绑到感觉像独立应用程序的网站，使用原生系统提示会增强这种感觉。PWA 与网站一样，都是跨平台的，这解释了这些 PWA 网络钓鱼活动如何能够针对 iOS 和 Android 用户。

ESET 分析师在捷克共和国观察到了这种新颖的技术，他们负责 ESET 品牌情报服务，该服务监控针对客户品牌的威胁。

对于 iPhone 用户来说，这样的举措可能会打破任何关于安全的‘围墙花园’假设。

发现利用电话、短信和恶意广告进行的网络钓鱼诈骗

分析师发现了一系列针对移动用户的网络钓鱼活动，这些活动使用了三种不同的 URL 传递机制。

这些机制包括自动语音呼叫、短信和社交媒体恶意广告。语音呼叫传递是通过自动呼叫完成的，该呼叫会警告用户银行应用程序已过期，并要求用户在数字键盘上选择一个选项。

按下正确的按钮后，钓鱼 URL 会通过短信发送，正如推文中所报道的那样。最初的短信传递是通过向捷克电话号码随意发送消息来完成的。发送的消息包括一个钓鱼链接和文本，以社交工程的方式诱使受害者访问该链接。

恶意活动通过 Instagram 和 Facebook 等元平台上的注册广告传播。这些广告包括号召性用语，例如为“下载以下更新”的用户提供限时优惠。

打开第一阶段提供的 URL 后，Android 受害者会看到两个不同的攻击活动，一个是模仿目标银行应用程序官方 Google Play 商店页面的高质量钓鱼页面，另一个是该应用程序的山寨网站。

从这里开始，受害者被要求安装银行应用程序的“新版本”。

WebAPK 绕过安全警告

钓鱼活动和方法之所以可行，完全是因为渐进式 Web 应用程序技术。简而言之，PWA 是使用传统 Web 应用程序技术构建的应用程序，可在多个平台和设备上运行。

WebAPK 可以被视为渐进式 Web 应用的升级版，因为 Chrome 浏览器会从 PWA（即 APK）生成原生 Android 应用。这些 WebAPK 看起来像常规的原生应用。此外，安装 WebAPK 不会产生任何“从不受信任的来源安装”警告。即使不允许从第三方来源安装，该应用也会被安装。

其中一个团伙使用 Telegram 机器人通过官方 Telegram API 将所有输入的信息记录到 Telegram 群聊中，而另一个团伙则使用带有管理面板的传统命令与控制 (C&C) 服务器。

基于这些活动使用两个不同的 C&C 基础设施这一事实，我们确定有两个独立的团伙正在针对多家银行开展 PWA/WebAPK 网络钓鱼活动。大多数已知案件都发生在捷克，只有两个网络钓鱼应用程序出现在该国境外（具体在匈牙利和格鲁吉亚）。

研究发现的所有敏感信息均被及时发送给受影响的银行进行处理。ESET 还协助拆除了多个钓鱼域和 C&C 服务器。