Hacker stehlen Bankdaten von iOS- und Android-Usern über PWA-Apps

Cyberkriminelle haben damit begonnen, progressive Webanwendungen (PWA) zu nutzen, um Bankanwendungen zu imitieren und Anmeldedaten von iOS- und Android-Nutzern zu stehlen. Diese Technik wurde erstmals im Juli 2023 in Polen beobachtet, wie "BleepingComputer" berichtet.

Laut dem Cybersicherheitsunternehmen Eset finden derzeit zwei verschiedene Kampagnen statt, welche diese Technik nutzen. Eine Kampagne zielt auf die ungarische Finanzinstitution OTP Bank ab, während die andere die TBC Bank in Georgien ins Visier nimmt. Die beiden Kampagnen scheinen von unterschiedlichen Bedrohungsakteuren betrieben zu werden. Eine Gruppe verwende eine eigene Command-and-Control-Infrastruktur (C2), um gestohlene Anmeldedaten zu empfangen, während die andere Gruppe gestohlene Daten über Telegram protokolliert.

Verschiedene Angriffsvektoren

Eset berichtet, dass die Kampagnen eine Vielzahl von Methoden einsetzen, um ihre Zielgruppe zu erreichen, darunter automatisierte Anrufe, SMS-Nachrichten (Smishing) und Malvertising-Kampagnen auf Facebook. In den ersten beiden Fällen täuschen die Cyberkriminellen die Nutzerinnen und Nutzer mit einer gefälschten Nachricht darüber, dass ihre Banking-App veraltet sei und sie die neueste Version aus Sicherheitsgründen installieren müssten, indem sie eine URL zum Herunterladen der Phishing-PWA bereitstellten.

Bei den bösartigen Anzeigen auf sozialen Medien verwenden die Bedrohungsakteure das offizielle Maskottchen der Bank, um ein Gefühl der Legitimität zu erzeugen und zeitlich begrenzte Angebote wie Geldprämien für die Installation eines angeblich kritischen App-Updates zu bewerben.

Je nach Gerät, das über den User-Agent-HTTP-Header verifiziert wird, führt ein Klick auf die Anzeige das Opfer zu einer gefälschten Google Play- oder App Store-Seite. Das Klicken auf die Schaltfläche "Installieren" fordert den User auf, eine bösartige PWA zu installieren, die sich als Banking-App ausgibt. In einigen Fällen wird die bösartige App auf Android in Form einer WebAPK installiert, einer nativen APK, die vom Chrome-Browser generiert wird.

Installationsbeschränkungen umgehen

Die Phishing-Apps verwenden offiziellen wirkende Identifikatoren der gefälschten Banking-App (z. B. Logo, legitim aussehender Anmeldebildschirm) und gibt auch den Google Play Store als Softwarequelle der App an. PWAs sind so konzipiert, dass sie plattformübergreifend funktionieren, sodass Angreifer ein breiteres Publikum durch eine einzige Phishing-Kampagne und Nutzlast ansprechen können. Wie "BleepingComputer" schreibt, liegt der Hauptvorteil liegt jedoch darin, die Installationsbeschränkungen von Google und Apple für Apps ausserhalb der offiziellen App-Stores sowie Warnhinweise zur Installation aus unbekannten Quellen zu umgehen. Diese könnten potenzielle Opfer auf mögliche Risiken aufmerksam machen.

PWA (links) und legitime Anwendung (rechts). WebAPKs sind nicht zu unterscheiden, da das Chrome-Logo im Icon fehlt. (Source: ESET)

PWAs können das Aussehen und die Haptik nativer Apps eng nachahmen, insbesondere im Fall von WebAPKs, bei denen das Browser-Logo auf dem Symbol und die Browser-Oberfläche innerhalb der App verborgen sind, sodass eine Unterscheidung von legitimen Anwendungen nahezu unmöglich ist. Diese Web-Apps können über Browser-APIs auf verschiedene Gerätesysteme zugreifen, wie z. B. Geolokalisierung, Kamera und Mikrofon, ohne diese vom Berechtigungsbildschirm des mobilen Betriebssystems anzufordern. Letztendlich können PWAs vom Angreifer ohne Benutzerinteraktion aktualisiert oder modifiziert werden, wodurch die Phishing-Kampagne dynamisch angepasst werden kann, um grösseren Erfolg zu erzielen.

Lesen Sie auch: Cyberkriminelle bedienen sich an mehreren Datenlecks, um so neue Datensätze für ihre Machenschaften zu erstellen. Diese Datensätze nutzen die Gauner dann, um ihren Zahlungsaufforderungen bei Fake-Sextortion-Nachrichten mehr Druck zu verleihen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.