- Une nouvelle campagne d’hameçonnage combine des méthodes traditionnelles et l'utilisation de PWA (Progressive Web Apps) qui cible Android et iOS.
- Cette campagne visait principalement les clients de banques tchèques, avec quelques cas observés en Hongrie et en Géorgie.
- La particularité de cette méthode réside dans l'absence d'avertissements lors de l'installation des applications PWA/WebAPK malveillantes, contournant ainsi les mécanismes de sécurité standard des appareils mobiles.
- En réponse à cette menace, ESET a rapidement alerté les banques concernées et a contribué à la suppression de nombreux domaines d’hameçonnage et serveurs C&C impliqués.
ESET Research a identifié une nouvelle forme d’hameçonnage, ciblant les clients d'une banque tchèque. Cette nouvelle méthode se distingue par sa capacité à installer une application malveillante via un site tiers, sans nécessiter l'autorisation explicite de l'utilisateur.
Sur Android, cela peut conduire à l'installation discrète d'un APK spécifique, donnant l'illusion d'une installation légitime depuis le Google Play Store. L’installation de l’application web progressive PWA se fait après validation de fenêtres pop-up personnalisées dans le navigateur.
Sur IOS les utilisateurs sont incités à ajouter une application web progressive (PWA) à leur écran d'accueil.
Dans les deux cas, les applications malveillantes sont conçues pour être pratiquement indiscernables des véritables applications bancaires. Les PWA, étant des sites web présentés comme des applications autonomes et utilisant des invites système natives, peuvent cibler efficacement les utilisateurs iOS et Android. Cette nouvelle méthode a été détectée en République tchèque par le service ESET Threat Intelligence.
Jakub Osmani, chercheur chez ESET ayant analysé cette menace, souligne que pour les utilisateurs d'iPhone, cette technique pourrait remettre en question la perception de sécurité associée au modèle fermé d'iOS.
Les analystes d'ESET ont découvert des campagnes d’hameçonnage ciblant les utilisateurs mobiles via trois méthodes de distribution d'URL : appels vocaux automatisés, SMS et publicités malveillantes sur les réseaux sociaux :
- Les appels automatisés alertent l'utilisateur d'une application bancaire obsolète et demandent une action sur le clavier téléphonique, déclenchant l'envoi d'une URL d’hameçonnage par SMS.
- Les SMS sont envoyés massivement à des numéros tchèques avec un lien d'hameçonnage.
- Des publicités trompeuses sur Instagram et Facebook incitent au téléchargement d'une prétendue mise à jour.
Pour les utilisateurs Android, l'URL fournie mène à deux scénarios possibles : une page d’hameçonnage imitant le Google Play Store pour l'application bancaire ciblée, ou un site Web copié de cette application. Dans les deux cas, les victimes sont incitées à installer une soi-disant "nouvelle version" de l'application bancaire.
Deux groupes distincts ont été identifiés derrière ces campagnes, utilisant des méthodes différentes pour collecter les informations : l'un via un bot Telegram enregistrant les données dans un chat de groupe, l'autre via un serveur de commande et de contrôle (C&C) traditionnel avec un panneau d'administration. La majorité des cas ont été observés en République tchèque, avec seulement deux occurrences en Hongrie et en Géorgie.
ESET a promptement communiqué toutes les informations sensibles découvertes aux banques concernées, et a également contribué à la suppression de plusieurs domaines d’hameçonnage et serveurs C&C impliqués dans ces attaques.
Pour plus d'informations techniques sur cette nouvelle menace de phishing, consultez l'article de blog « Be careful what you pwish for – Phishing in PWA applications » sur WeLiveSecurity.com.
Flux d’hameçonnage PWA.
Contact Presse :
Jolya COHOUNDO : presse@eset-nod32.fr
À propos d'ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l'intelligence artificielle et l'expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l'UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d'utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s'adaptant constamment à l'évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.