Les auteurs de menaces ont commencé à utiliser des applications Web progressives pour usurper l’identité d’applications bancaires et voler les informations d’identification des utilisateurs Android et iOS.

Les applications Web progressives (PWA) sont des applications multiplateformes qui peuvent être installées directement à partir du navigateur et offrent une expérience de type natif grâce à des fonctionnalités telles que les notifications push, l’accès au matériel de l’appareil et la synchronisation des données en arrière-plan.

L’utilisation de ce type d’applications dans les campagnes de phishing permet d’échapper à la détection, de contourner les restrictions d’installation des applications et d’accéder à des autorisations risquées sur l’appareil sans avoir à envoyer à l’utilisateur une invite standard qui pourrait éveiller les soupçons.

La technique a été observée pour la première fois dans la nature en juillet 2023 en Pologne, tandis qu’une campagne ultérieure lancée en novembre de la même année ciblait les utilisateurs tchèques.

La société de cybersécurité ESET rapporte qu’elle suit actuellement deux campagnes distinctes reposant sur cette technique, l’une ciblant l’institution financière hongroise OTP Bank et l’autre ciblant TBC Bank en Géorgie.

Cependant, les deux campagnes semblent être exploitées par des acteurs de la menace différents. L’un utilise une infrastructure de commande et de contrôle (C2) distincte pour recevoir les informations d’identification volées, tandis que l’autre groupe enregistre les données volées via Telegram.

Chaîne d’infection
ESET affirme que les campagnes reposent sur un large éventail de méthodes pour atteindre leur public cible, notamment des appels automatisés, des SMS (hameçonnage par SMS) et des publicités malveillantes bien conçues sur les campagnes publicitaires Facebook.

Dans les deux premiers cas, les cybercriminels trompent l’utilisateur avec un faux message indiquant que leur application bancaire est obsolète et qu’il est nécessaire d’installer la dernière version pour des raisons de sécurité, en fournissant une URL pour télécharger la PWA de phishing.

Flux d’infection des campagnes PWA

Dans le cas de publicités malveillantes sur les réseaux sociaux, les acteurs de la menace utilisent la mascotte officielle de la banque usurpée pour induire un sentiment de légitimité et promouvoir des offres à durée limitée comme des récompenses monétaires pour l’installation d’une mise à jour d’application supposée critique.

L’une des publicités malveillantes utilisées dans la campagne de phishing

Selon l’appareil (vérifié via l’en-tête HTTP User-Agent), cliquer sur l’annonce amène la victime à une fausse page Google Play ou App Store.

Fausse invite d’installation de Google Play (à gauche) et progression (à droite)

En cliquant sur le bouton « Installer », l’utilisateur est invité à installer une PWA malveillante se faisant passer pour une application bancaire. Dans certains cas sur Android, l’application malveillante est installée sous la forme d’un APK natif de l’api Web généré par le navigateur Chrome.

L’application de phishing utilise les identifiants de l’application bancaire officielle (par exemple, un écran de connexion au logo d’apparence légitime) et déclare même Google Play Store comme source logicielle de l’application.

L’APK Web malveillant (à gauche) et la page de connexion au phishing (à droite)

L’attrait de l’utilisation était sur mobile
Les PWA sont conçues pour fonctionner sur plusieurs plates-formes, de sorte que les attaquants peuvent cibler un public plus large via une seule campagne de phishing et une seule charge utile.

Le principal avantage, cependant, réside dans le contournement des restrictions d’installation de Google et d’Apple pour les applications en dehors des magasins d’applications officiels, ainsi que dans les invites d’avertissement “installer à partir de sources inconnues” qui pourraient alerter les victimes des risques potentiels.

Les PWA peuvent imiter de près l’apparence des applications natives, en particulier dans le cas des WebAPKs, où le logo du navigateur sur l’icône et l’interface du navigateur dans l’application sont masqués, il est donc presque impossible de les distinguer des applications légitimes.

PWA (à gauche) et application légitime (à droite). Les applications Web sont indiscernables car elles perdent le logo Chrome de l’icône.

Ces applications Web peuvent accéder à divers systèmes d’appareils via des API de navigateur, telles que la géolocalisation, la caméra et le microphone, sans les demander à partir de l’écran des autorisations du système d’exploitation mobile.

En fin de compte, les PWA peuvent être mises à jour ou modifiées par l’attaquant sans interaction de l’utilisateur, ce qui permet d’ajuster dynamiquement la campagne de phishing pour plus de succès.

L’utilisation abusive des PWA pour le phishing est une tendance émergente dangereuse qui pourrait prendre de nouvelles proportions à mesure que de plus en plus de cybercriminels en réalisent le potentiel et les avantages.

Il y a quelques mois, nous avons signalé de nouveaux kits de phishing ciblant les comptes Windows utilisant Was. Les kits ont été créés par le chercheur en sécurité m. d0x spécifiquement pour démontrer comment ces applications pouvaient être utilisées pour voler des informations d’identification en créant des formulaires de connexion d’entreprise convaincants.

Breachtrace a contacté Google et Apple pour leur demander s’ils prévoyaient de mettre en œuvre des défenses contre les PWA/WebAPKs, et nous mettrons à jour cet article avec leurs réponses une fois que nous aurons de leurs nouvelles.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *