Выявлено новое применение WebAPK: мошенники под видом банка крадут данные

Злоумышленники используют технологию Android WebAPK , чтобы заставить пользователей устанавливать на Android-смартфоны вредоносные веб-приложения, предназначенные для сбора конфиденциальной личной информации. Об этом сообщилиспециалисты группы реагирования на инциденты компьютерной безопасности Польши (Computer Security Incident Response Team, CSIRT KNF).

Атака началась с того, что жертвы получили SMS-сообщения с предложением обновить приложение мобильного банкинга. Ссылка в сообщении вела на сайт, использующий технологию WebAPK для установки вредоносного приложения на устройство жертвы. Приложение выдает себя за крупнейший банк Польши PKO Bank Polski. Подробностями кампании впервые поделиласьпольская фирма по кибербезопасности RIFFSEC.

WebAPK позволяет пользователям устанавливать прогрессивные веб-приложения ( Progressive Web App, PWA ) на домашний экран Android-устройств без скачивания приложения из магазина Google Play.

Как объясняет Google, при установке PWA из браузера Google Chrome, используя WebAPK, сервер минтинга “чеканит” (пакеты) и подписывает APK для PWA. Когда APK готов, браузер автоматически устанавливает приложение на устройство пользователя. Поскольку доверенные поставщики (Google Play Services или Samsung) подписали APK, телефон устанавливает его, не отключая систему безопасности.

После установки поддельное банковское приложение (“org.chromium.webapk.a798467883c056fed_v2”) предлагает пользователю ввести свои учетные данные и токены двухфакторной аутентификации (2FA), что фактически приводит к их краже.

По словам специалистов, одной из проблем противодействия таким атакам является тот факт, что приложения WebAPK генерируют разные имена пакетов и контрольные суммы на каждом устройстве. Они динамически создаются движком Chrome, что затрудняет использование этих данных в качестве индикаторов компрометации (IoC).

Для противодействия таким угрозам рекомендуется блокировать веб-сайты, использующие механизм WebAPK для проведения фишинговых атак.

Public Release.